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底下 这 些 文件 主要 是 针对 在 Linux 上 的 网 络 服务 器 来 书写 架设 方式 的 ， 鸟 哥 主 要 以 使 用 
RPM/YUM 作为 软件 安装 的 CentOS 为 基础 系统 。 CentOS 是 属于 Red Hat Enterprise Linux 
(RHEL) 的 操作 系统 ， 所 以 理论 上 RHEL, CentOS, Fedora 等 版 本 都 适用 的 啦 ! 为 什么 要 使 用 
默认 的 软件 管理 方式 来 安装 所 有 的 服务 器 程序 呢 ? 这 是 因为 大 多 数 的 Linux 开发 商都 会 有 所 
谓 的 在 线 升 级 系统 ， 包 括 CentOS/Fedora 的 yum ， 以 及 SuSE 的 YOU ， 还 有 Debian 的 
apt 等 等 ， 因 为 有 在 线 『 自 动 升级 」， 所 以 当然 会 比 您 自己 手动 使 用 Tarball 的 安装 方式 来 的 
方便 且 安 全 ! 因为 你 的 系统 上 头 所 有 的 数据 可 以 在 第 一 时 间 内 『 自 动 」 修补 完毕 嘛 | 


要 架设 好 一 部 Linux 服务 器 实在 很 简单 ， 只 要 按照 鸟 哥 网 站 上 的 步骤 ， 一 步 一 步 的 慢 慢 设 定 
下 去 ， 铁 定 可 以 完成 您 所 需要 的 设 定 的 ! 但 是 ， 要 维护 好 一 部 Linux 主机 ， 却 是 很 困难 的 | 
您 必须 要 熟悉 Linux 的 系统 架构 、 网 络 的 基本 知识 如 协议 、IP、 路 由 、DNS 等 等 的 基础 知识 
才 行 ! 

无 论 如 何 ， 您 要 开始 『 服 务 器 架设 篇 之前， 请 务必 先 读 完 『Linux 基础 篇 」 的 文章 才 行 ! 
否则 几乎 就 如 同上 面 提 到 的 ， 维 护 这 样 的 一 部 Linux 主机 ， 是 很 花 时 间 的 |! 没有 这 个 认 知 ， 
那 就 不 要 架 站 吧 ! 免得 毒害 其 他 的 战友 呐 |! 


在 架 站 的 过 程 当 中 ， 无 论 出 现任 何 问题 ， 第 一 个 步骤 就 是 察看 登录 档 (log file)， 那 是 克服 问题 
的 地 方 | 
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架 站 需要 很 强 的 Linux 基础 概念 以 及 基础 网 络 知识 ， 否 则 的 话 ， 当 网 络 断断续续 的 时 候 ， 您 
永远 也 不 会 知道 是 哪里 出 问题 ! 而 当 某 个 服务 器 软件 出 问题 的 时 候 ， 您 永远 也 不 晓得 是 发 生 
了 什么 事情 ! 老人 家 说 『 对 症 下 药 才 有 效 」 ， 随便 吃 药 是 不 可 能 『 无 病 强 身 」 的 |! 因此 ， 对 
于 网 络 服务 器 来 说 最 重要 的 基础 档案 权限 、 程 序 之 启动 关闭 与 管理 、Bash shell 之 操作 与 
script 、 使 用 者 账号 的 管理 等 等 ， 您 都 必须 要 具备 最 基础 的 认 知 才 行 ， 否 则 ， 服 务 器 丨 的 不 好 
碰 | 


在 这 一 篇 当中 ， 乌 哥 会 介绍 一 下 架设 服务 器 之 前 你 必须 要 具备 的 基础 观念 ， 以 及 重要 的 网 络 
基础 ， 当 然 啦 ， 一 大 堆 的 网 络 指令 是 需要 熟悉 的 。 这 些 网 络 指令 不 是 要 你 背 起 来 ， 而 是 希望 
在 你 需要 的 时 候 可 以 很 快速 的 查阅 到 如 何 使 用 的 说 1 无 论 如 何 ， 请 您 务必 在 架 站 前 『 读 过 
Linux 基础 篇 及 『 读 过 网 络 基础 篇 的 文章 ， 否 则 大 家 很 难 跟 您 讨论 呢 ! 这 个 部 分 乌 哥 放 
在 最 前 面 ， 希 望 大 家 『 务 必 」 要 查看 这 些 资料 啊 | 


作者 序 


最 近 更 新 日 期 : 2011/08/18 


作者 序 : 


伺服 器 的 架设 痊 不 容易 ， 除 了 需要 隘 解 每 个 伺服 器 的 工作 原理 与 目的 之 外 ， 膛 得 要 熟悉 网 路 
以 及 基础 系统 管理 操作 等 等 。 不 过 目前 有 太 多 的 书籍 以 及 设 定 参考 范例 在 教导 大 家 如 何 架 设 
一 个 可 以 用 的 伺服 器 ， 但 这 些 范 例 御 没 有 就 伺服 器 的 维 访 与 管理 ， 逮 有 发 生 问 题 时 应 该 要 如 
何 处 理 的 流程 作 个 解释 。 因 此 ， 架 设 伺 服 器 是 很 容易 的 ， 不 过 ， 被 攻 者 也 是 很 常见 的 啊 ! 所 
以 ， 笔 者 在 这 本 着 里 面 就 从 系统 基础 以 及 网 路 基础 讲 起 ， 再 谈 谈 网 路 攻击 后 以 及 防火 竺 防 访 
主机 后， 才 进 入 架设 伺服 器 的 章节 。 


这 本 书 是 以 CentOS 6 高 范例 来 介绍 的 ， 这 个 版 本 的 Linux 有 很 多 与 以 前 不 一 样 的 服务 设 定 ， 
常常 会 让 人 找 不 到 熟 入 的 设 定 档 位 置 。 而 且 笔者 使 用 SELinux 预 设 痊 动 的 模式 来 进行 伺服 器 
的 设 定 ， 加 入 SELinux 和 后， 整个 伺服 器 的 设 定 就 亚 的 有 些 准 度 哩 ! 此外， 以 前 没有 用 过 的 
NetworkManager 服务 也 来 滩 一 脚 ， 所 以 老 是 会 张 人 摘 到 满 脑子 混乱 一 笔者 光 是 重复 测试 之 前 
版 本 与 此 版 本 的 对 应 ， 就 花 去 不 少 的 时 间 呢 ! 希望 这 样 的 测试 结果 ， 能 约 帮 大 家 降低 自行 斌 
误 的 过 程 ， 早 点 设 定好 您 的 伺服 器 。 


这 次 第 三 版 的 改版 幅度 不 算 太 大 ， 主 要 是 将 前 面 效 章 网 路 安全 的 部 分 文章 统合 ， 加 入 了 第 二 
版 被 拿 掉 的 代理 伺服 器 章节 ， 减少 邮件 伺服 器 的 进 队 内容 (说 实在 的 ， 邮 件 伺服 器 的 架设 丨 的 
可 以 不 用 学 太 多 了 ! )， 音 加 入 了 相当 重要 的 iSCSI 这 种 磁 碟 提 供 者 的 模 气 器 ! 同时 将 vsftpd 
加 入 了 SSL 的 加 蜜 支援 ! 六 且 将 伺服 器 常用 在 内 部 网 路 或 网 际 网 路 作 个 区 分 ， 以 方便 使 用 者 
上 解 该 服务 常用 藕 哪些 实务 上 。 和 这些 分 类 都 是 笔者 近期 来 在 学 校 作 专 题 研究 时 的 一 此 观察 
合 ， 所 做 的 分 析 。 希望 能 钓 对 访 著 们 有 些 东 助 。 


这 本 书 既 然 是 谈论 比较 深入 的 架 站 规划 、 流 程 、 技 巧 与 维 访 等 工作 ， 屠 广 比 较 基础 的 Linux 
操作 与 相关 的 Shell 语法 ， 在 这 本 韦 和 里面 就 不 可 能 谈论 的 很 多 ， 蛙 竟 ，Linux 基础 篇 已 经 完 
成 了 ， 没 有 必要 在 这 本 书 祷 面 再 次 的 重 复 提 及 的 。 所 以 ， 当 您 当 试 阅读 这 本 书 的 时 候 ， 请 注 
意 ， 您 最 好 已 经 具备 有 Linux 作业 系统 的 相关 知识 ， 以 及 文字 介面 (BASH Shell) 的 相关 技 

巧 ， 逮 有 ， 必 需要 能 私 晾 解 一 些 Unix-Like 的 工作 流程 ， 例 如 登录 档 的 产生 与 放置 的 地 点 、 服 


A 


务 的 租 动 僵 关 并 方式 、 工 作 排 程 的 使 用 方法 、 以 及 其 他 种 种 相关 的 事项 。 也 就 是 说 ， 如 果 您 
从 未 接触 过 Linux ， 那 广 建 议 您 由 『 和 岛 哥 的 Linux 私房 菜 -- 基础 学 习 篇 」 开 始 Linux 的 探索 
历程 ， 否 则 ， 这 本 书 对 您 而 言 ， 可 能 会 过 於 欣 以 理解 。 


另外 ， 这 本 着 的 内 容 很 多 时 候 会 提 到 一 些 简单 的 概念 而 不 是 僵化 的 流程 ， 尤 其 每 个 人 对 认 网 
站 的 要 求 都 不 相同 ， 也 就 是 说 ， 每 个 人 的 网 站 其 实 都 是 带 有 个 人 风格 的 ， 因 此 僵化 的 流程 赣 
没有 太 大 的 意义 ~ 只 要 能 金 依据 这 些 简单 的 概念 来 进行 网 站 的 架设 ， 岛 可 认 局 ， 您 的 主机 设 
定 应 该 都 不 会 有 太 大 的 问题 。 怕 的 是 什么 呢 ? 都 没有 碰 遇 Linux ， 御 想 直接 参考 架 站 的 程序 
来 完成 网 站 的 架设 的 朋友 ， 这 些 朋 友 最 容易 忽略 和 后续 的 维护 与 管理 了 ! 这 也 容易 造成 网站 的 
不 稳定 或 者 是 造成 被 网 路 怪 客 (Cracker) 入 侵 的 问题 啊 ! 


这 本 这 主要 的 目的 是 引 壮 使 用 者 进入 Linux 强大 的 网 路 功能 的 世界 ， 书 内 的 范例 都 是 岛 哥 自 
己 实 际 测试 遇 没 有 问题 才 写 上 来 的 ， 不 过 ， 蛙 竞 每 个 人 的 网 路 环境 与 操作 习惯 都 不 相同 ， 因 
此 ， 岛 哥 不 敢 说 我 书 内 的 范例 一 定 可 以 在 您 的 系统 上 操作 成 功 的 1! 然而 ， 书 内 都 会 提 到 一 些 
基本 概念 的 问题 ， 只 要 理解 这 些 基本 的 概念 ， 凑 且 对 於 Linux 的 操作 熟悉 ， 相 信和 您 一 定 可 以 
利用 书 内 的 范例 来 开发 出 衣 合 您 自己 的 伺服 器 设 定 的 ! 不 过 ， 半 於 没有 碰 过 Linux 的 朋友 ， 


还 是 建议 和 从头 学 起 ， 至 於 遍 什 和 一定 得 从头 学 起 ， 在 本 着 的 第 一 章 内 会 仔细 谈论 喔 。 


章节 安排 : 


本 着 在 章节 的 规划 上 面 ， 主 要 分 局 四 大 部 分 ， 分 别 是 『 网 路 基础 篇 、『 主 机 的 简易 防火 措 
施 篇 | 、『 区 网 常见 伺服 器 架设 篇 | 和 与 『 网 际 网 路 伺服 器 篇 1 ， 前 十 篇 的 所 有 内 容 是 很 基础 
的 网 路 概念 与 实际 网 路 设 定 ， 包 括 很 重要 的 网 路 自我 检测 以 及 防火 粮 设 定 等 ， 与 您 的 伺服 器 
能 不 能 运作 有 很 大 的 关 傈 1 所以， 您 在 开始 伺服 器 的 架设 之 前 ， 请 务必 将 前 面 两 篇 共 十 章 先 
叭 过 一 遍 才 好 呐 |! 


在 『 网 路 基础 篇 ] 当 中， 我 们 会 介绍 简易 的 网 路 基础 ， 这 包含 了 硬 体 的 选择 与 体 线 。 此 外 ， 
还 有 在 Linux 上 面 速 上 Internet 的 方法 ， 以 及 在 Linux 发 生 扰 法 连接 网 际 网 路 的 问题 时 ， 简 易 
的 查验 方法 。 看 完了 这 一 篇 之 后 ， 您 的 Linux 不 论 以 何 种 方式 来 进行 Internet 的 连接 ， 就 应 该 
都 不 成 问题 叶 ， 而 且 ， 锅 可 希望 看 完 这 一 篇 之 后 ， 您 可 以 皮 解 Linux 的 网 路 问题 ， 疮 自行 角 
决 喔 ! 


在 『 主 机 的 简易 防火 措施 篇 中， 我 们 会 简章 的 介绍 Linux 的 强大 网 路 功能 下 ， 可 能 会 发 生 
的 网 路 入 侵 问 题 。 接 下 来 ， 上 昧 解 了 问题 后 ， 当 然 就 是 需要 来 解决 他 咖 ! 所 以 ， 我 们 会 就 
TCPIIP, port, 套件 漏洞 的 修补 与 防火 糖 等 来 推 城 一下， 该 如 何 做 好 Linux 主机 的 防备 呢 ? 

『 没 有 永 带 安全 的 主机 J 是 正确 的 言论 ， 所 以 ， 即 使 您 的 主机 只 是 一 个 小 小 的 网 站 ， 也 千 萝 
不 能 忽略 这 个 防火 焊 的 认识 喔 |! 


在 『 区 网 常见 伺服 器 架设 篇 」 当 中， 我 们 会 介绍 内 部 网 路 经 常 使 用 的 带 端 违 线 服 务 (ssh, vnc， 
xrdp)、 网 路 参数 设 定 服务 (dhcp, ntp)、 网 路 磁 碟 服务 (samba, nfs, iscsi)， 以 代理 伺服 器 等 服 
务 。 这 些 章 季 中 然 跳 著 看 是 没有 问题 的 ， 不 过 ， 岛 可 建议 十 一 章 的 连 线 伺服 器 得 要 花 些 时 间 


瞧 瞧 ， 尤 其 是 ssh 的 金 给 系统 ， 半 於 县 地 人 备 援 是 相当 有 玫 助 的 ! 


在 『 在 网 际 网 路 伺服 器 篇 」 当 中 ， 我 们 会 介绍 DNS, WWW, FTP 及 mail server 等 常见 的 服 
务 。 在 网 际 网 路 上 面 要 使 用 较 好 记 的 主机 名 称 来 束缚， 就 得 要 透 过 DNS 系统 ， 因 此 ， 这 个 
DNS 伺服 器 相当 重要 ! 在 这 一 版 的 DNS 加 入 了 view 的 简单 概念 ， 可 以 适用 於 区 网 内 的 主机 
联网 ， 可 以 参考 看 看 。 


章节 的 安排 主要 仍然 是 由 浸入 深 来 进行 编排 的 ， 因 此 ， 膛 是 希望 读者 们 可 以 由 前 面 慢 慢 的 往 
下 看 ， 不 要 著 急 的 直接 翻 到 后面 去 抄 一 些 架设 流程 喔 ! 而 且 ， 北 乎 每 一 章节 后面 都 会 具有 一 
些 简单 的 课 后 张 习题 ， 这 些 绿 习 题 有 的 是 岛 哥 参加 过 的 考 斌 内容， 有 的 是 岛 哥 想到 的 一 些 资 
料 ， 很 通 合 大 家 思考 喔 | 不 要 错过 这 些 练习 题 的 训 张 喔 ! 


感谢 自由 软体 社 群 志 工 们 的 软体 发 展 ， 访 我 们 能 有 这 认 棒 的 作业 系统 玉 建 置 伺服 器 ! 也 要 感 
谢 读 者 们 的 回馈 ， 让 岛 哥 能 多 在 Linux 伺服 器 的 原理 损 设 定 方面 有 更 深入 的 睦 解 。 感 谢 Study 
Area 酷 学 围 伙 伴 们 的 支持 ， 包 括 netman 大 大 、 酷 学 园 板 主 群 、 岛 辕 讨 论 板 主 群 、 以 及 参加 
实体 活动 的 诸位 朋友 。 感 谢 觉 山 科 大 资 伟 系 张 世 茹 主任 伍 各 位 老师 、 伙 伴 们 对 不 才 小 弟 在 研 
究 方 面 的 支援 ! 更 要 感谢 岛 哥 的 学 生 们 ， 有 你 们 的 帮忙 ， 让 和 岛 哥 可 以 有 较 多 的 时 间 玩 些 伺 服 
器 测试 与 文章 的 撰写 ! 


最 后 ， 朵 爱 的 岛 媳 ， 谢 谢 你 多 年 来 的 付出 ， 万 其 这 两 年 帮 我 们 家 添 了 两 个 可 爱 的 赛 上 贝 : 寡 寡 
与 轩 轩 ! 硕 望 岛 窟 一 家 ， 以 及 所 有 的 朋友 们 平安 、 幸 福 ! 


岛 哥 2011/08/18 
另外 ， 关 於 本 书 的 牙 误 资讯 ， 请 参考 : 


e http://linux.vbird.org/book/ 


2003/07/14 : 第 一 次 完成 日 期 ! 2003/09/18 : 加 入 一 些 说 明 ， 尤 其 是 各 个 伺服 器 的 简介 。a 
2007/03/01 : 取消 各 个 伺服 器 的 简介 ， 太 估 篇 幅 了 | 修改 初版 序 的 内 容 ， 增 加 再 版 序 的 部 
分 。 2007/03/01 : 初版 序 我 将 他 拿 到 这 壬 2011/08/18 : 二 版 序 移 动 到 这 壬 


第 一 章 、 架 设 服 务 器 前 的 准备 工作 


最 近 更 新 日 期 : 2011/07/14 


很 多 朋友 因为 自身 或 服务 单位 的 需求 ， 总 是 有 架设 各 种 网 络 服务 器 的 时 刻 ， 这 个 时 候 大 多 数 
的 前 区 都 会 推荐 他 们 使 用 Linux 做 为 服务 器 架设 的 操作 系统 。 但 因为 这 些 朋 友 很 多 都 没有 受 
过 Linux 操作 系统 操作 方面 的 训练 ， 因 此 总 觉得 反正 都 是 操作 系统 ， 所 以 Linux 应 该 也 跟 
Windows 差不多 吧 ! 那么 就 硬 着 头皮 使 用 图 形 接口 去 设 定 好 众多 的 服务 器 ， 也 有 可 能 参考 网 
络 上 一 些 文章 ， 即 使 是 透 过 文字 接口 去 设 定 ， 也 能 够 很 轻松 的 作 好 服务 器 的 架设 。 问 题 是 ， 
这 样 的 一 部 服务 器 是 很 容易 被 绑架 的 ， 而 有 全， 如 果 网 络 不 通 ， 你 如 何 自行 将 问题 克服 
(trouble shooting) ? 难道 出 问题 只 能 无 语 问 苍天 ?3 所 以 嚼 ， 除 非 你 只 是 暂时 需要 架设 网 络 服 
务 器 ， 可 以 请 朋友 或 其 他 信息 公司 帮 你 忙 ， 如 果 你 本 身 就 是 信息 方面 的 服务 提供 商 ， 那 鸟 哥 
建议 你 在 进行 服务 器 实务 设 定之 前 ， 看 一 看 这 篇 ， 试 试看 你 到 底 有 没有 具备 网 络 服务 器 的 设 
定 技能 了 呢 ? 


e 1.1 前 言 : Linux 有 啥 功能 
o 1.1.1 只 想 用 Linux 架设 服务 器 需要 哈 能 力 ? 
o 1.1.2 架设 服务 器 难 不 难 呢 ? 
e 1.2 基本 架设 服务 器 流程 
o 1.2.1 网 络 服务 器 成 功 联机 的 分 析 
o 1.2.2 一 个 常见 的 服务 器 设 定案 例 分 析 
1.2.2-1 了 解 网 络 基础 
1.2.2-2 服务 器 本 身 的 安装 规划 与 架 站 目的 的 搭配 ; 全 新 安装 
1.2.2-3 服务 器 本 身 的 基本 操作 系统 操作 : 建立 账号 , 修改 权限 , Quota, LVM 
1.2.2-4 服务 器 内 部 的 资源 管理 与 防火 墙 规 划 
1.2.2-5 服务 器 软件 设 定 : 学 习 设 定 技巧 与 开机 是 否 自 动 执行 
1.2.2-6 细部 权限 与 SELinux 
o 1.2.3 系统 安全 与 备份 处 理 
e。 1.3 自我 评估 是 否 已 经 具有 架设 服务 器 的 能 力 
e 1.4 木 章 习题 
e 1.5 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=23676 
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1.1 前 言 : Linux 有 只 功能 


很 多 刚 接触 Linux 的 朋友 常常 会 问 的 一 句 话 就 是 : 『 我 学 Linux 就 是 为 了 架设 服务 器 ， 了 既然 只 
是 为 了 架设 服务 器 ， 为 什么 我 还 要 学 习 Linux 的 其 他 功能 ?例如 : 例 行 性 工作 排 程 、Bash 
Shell ， 又 干 嘛 去 认识 所 有 的 登录 档 等 等 ， 我 又 用 不 到 ! 此 外 ， 了 既然 有 好 用 的 Web 接口 的 
Server 设 定 软件 ， 可 以 简单 的 将 网 站 架设 起 来 ， 为 什么 我 还 要 去 学 习 vim 手动 的 编辑 一 些 配 
置 文件 ? 干 嘛 还 需要 去 理解 服务 器 的 工作 的 原理 ?4 上面 这 些 话 对 于 刚刚 学 会 架设 网 站 的 人 
来 说 ， 昌 是 替 他 们 道 出 了 一 个 新 手 的 心声 啊 | 不 过 ， 对 于 任何 一 个 曾经 有 过 架设 公开 网 站 的 
朋友 来 说 ， 上面 这 些 话 ， 曝 的 是 会 害 死 人 | 为 什么 呢 ? 底下 我 们 就 来 分 析 一 下 。 


1.1.1 只 想 用 Linux 架设 服务 器 需要 啥 能 力 ? 


如 果 有 人 问 你 : 『Linux 最 强大 的 功能 是 什么 4」 ? 大 概 大 家 都 会 回答 『 是 网 络 功能 啊 1 4 ， 接 
下 来 ， 如 果 对 方 再 问 : 『 所 以 学 Linux 就 是 为 了 架设 服务 器 哩 ?J 呵呵 | 这 个 问题 可 就 见 仁 

见 智 史 |! 说 穿 了 ，Linux 其 实 就 是 一 套 非常 稳定 的 操作 系统 ， 任 何 工作 只 要 能 在 Linux 这 个 操 
作 系 统 上 面 跑 ， 那 他 就 是 Linux 可 以 达成 的 功能 之 一 嚼 上 所 以 Linux 的 作用 实在 不 止 于 网 络 服 


务 器 的 架设 呐 。 


举例 来 说 ， 在 Linux 上 面 开发 跨 平台 的 数值 模式 (model) 诸如 大 型 的 大 气 仿 丨 模式 ， 由 于 
Linux 的 稳定 与 完善 的 资源 分 配 功 能 ， 使 得 在 Linux 上 面 开 发 出 来 的 程序 运作 的 又 快 又 稳定 。 
此 外 ， 诸 如 KDE, GNOME 等 漂亮 的 图 形 接 口 ， 搭 配 诸如 Open Office 等 办 公 室 软件 ，Linux 
立刻 摇身一变 而 成 为 优秀 的 办 公 室 桌面 计算 机 了 (Desktop)。 此 外 ，Google 制作 出 专门 给 
机 系统 用 的 Android 也 是 以 Linux 为 底 开 发 的 。 所 以 说 ， 千 万 不 要 小 看 了 Linux 的 多 样 功能 
呐 。 


不 过 ， 不 管 怎么 说 ，Linux 的 强大 网 络 功能 确实 是 造成 Linux 能 够 在 服务 器 领域 内 占有 一 席 之 
地 的 重要 项 目 。 既然 如 此 ， 我 们 就 好 好 的 来 探索 一 下 Linux 的 网 络 世 界 吧 ! 首先 ，Linux 到 
底 可 以 达成 哪些 网 络 功 能 呢 ? 这 可 就 多 着 咯 ! 不 论 是 WWW, Mail, FTP, DNS, 或 者 是 DHCP， 
NAT 与 Router 等 等 ，Linux 系统 都 可 以 达到 ， 而 有 全， 只 要 一 部 Linux 就 能 够 达到 上 面 所 有 的 
功能 了 | 当然 ， 那 是 在 不 考虑 网 络 安 全 与 效能 的 情况 下 ， 你 可 以 使 用 一 部 Linux 主机 来 达成 
所 有 的 网 络 功能 。 


但 是 你 得 要 知道 ，『 架 站 容易 维护 难 」 啊 ! 更 深 一 层 来 说 ，『 维 护 还 好 、 除 错 更 难 啊 14 架 
设 一 个 网 站 有 什么 难 的 ?即使 你 完全 没有 摸 过 Linux ， 只 要 参考 鸟 哥 的 书籍 或 者 是 网 站 ， 而 
且 一 步 一 步 照 着 做 ， 包 准 你 一 个 下 午 就 可 以 架设 完成 五 个 以 上 的 网 络 服务 了 ! 所 以 说 ， 架 设 
服务 器 有 什么 难 的 ? 但 要 晓得 的 是 ， 这 样 的 一 个 网 站 ， 多 则 三 天 ， 少 则 数 小 时 ， 立 刻 就 会 被 
入 侵 了 1 此 外 ， 被 入 侵 之 后 ， 或 许可 以 藉 由 一 些 工 具 来 帮 你 将 root 的 密码 救 回 来 ， 可 惜 的 
是 ， 这 样 的 一 个 网 站 还 是 有 被 做 为 中 继 站 的 危险 存在 的 ! 


另外 ， 如 果 你 使 用 工具 (例如 Webmin) 却 怎 么 也 架设 不 起 来 某 个 网 站 时 ， 要 怎么 解决 ?如 果 
你 不 懂 该 Server 的 运作 原理 与 Linux 系统 的 除 错 讯息 ， 那 么 难道 只 能 无 语 问 苍天 ?不 要 怀疑 
这 种 情况 的 可 能 性 ， 参 考 一 下 各 大 论坛 上 面 的 留言 就 可 以 很 清楚 的 知道 这 种 情况 的 存在 有 越 
来 越 明显 的 趋势 呢 ! 


所 以 说 ， 架 设 服 务 器 之 前 还 是 有 一 些 基 本 的 技能 需要 学 会 的 1 而 
后 ， 监 正 是 终身 受用 啊 1 」 只 要 花 一 个 学 期 (三 ~ 六 个 月 ) 就 能 学 会 一 鞋子 可 以 使 用 的 技能 ， 这 
个 学 习 的 投资 报酬 率 丨 是 太 高 了 1 所 以 ， 一 开始 的 学 习 不 要 觉得 苦 ， 那 站 的 是 值得 的 喔 ! 人 人 ^ 


Tips: 举例 来 说 ， 乌 哥 在 2003 ~ 2005 年 跑 去 当 兵 了 ， 当 兵 期 间 很 少 碰 Linux 啦 ! 等 到 退伍 后 
接 到 的 第 一 个 班 要 带 Linux 国际 证 照 时 ， 几 乎 所 有 的 指令 都 在 看 不 起 岛 哥 @ @~ 不 过 ， 懂 得 
学 习 的 方法 的 乌 哥 ， 透 过 man 啦 ， 透 过 google 啦 ， 透 过 以 前 学 习 的 一 些 概念 啦 ， 遇 到 问题 
几乎 都 可 以 在 一 分 钟 内 解决 ， 同 学 也 不 会 有 突然 不 知 所 云 的 困扰 ! 你 说 ， 这 样 是 不 是 很 好 
呢 ? 


Linux 不 是 很 好 学 ， 根 据 鸟 哥 过 去 教学 的 经 验 ， 很 多 同学 在 学 Linux 时 站 是 非常 的 痛苦 ， 不 过 
学 完 之 后 ， 以 前 在 Windows 上 面 遇 到 的 困难 却 也 自然 而 然 的 迎刃而解 ! 因为 Linux 训练 我 们 
时 ， 是 要 我 们 去 解决 一 个 发 现 的 问题 ， 这 过 程 需要 很 多 基础 知识 的 培养 ， 所 以 学 完 他 之 后 ， 
你 会 觉得 很 多 事情 都 变 的 很 简单 而 单纯 。 但 如 果 使 用 Windows 的 懒 人 方案 ， 很 多 问题 就 不 可 
能 了 解 为 啥 会 发 生 与 为 啥 可 以 这 样 处 理 了 ! 我 们 会 在 下 一 节 分 析 一 下 架设 服务 器 的 流程 ， 也 
会 提供 相对 应 的 你 应 该 要 会 的 Linux 技能 喔 ! 


1.1.2 架设 服务 器 难 不 难 呢 ? 


不 管 是 Windows 还 是 Linux ， 要 架设 好 一 部 堪 称 完美 的 服务 器 ，『 基 本 功课 4 还 是 得 做 的 ， 


基础 网 络 的 基本 概念 ， 以 方便 进行 联网 与 设 定 及 除 错 ; 

熟悉 操作 系统 的 简易 操作 : 包括 登录 分 析 、 账 号 管理 、 文 书 编辑 器 的 使 用 等 等 的 技巧 ; 
言 息 安 全 方面 : 包括 防火 墙 与 软件 更 新 方面 的 相关 知识 等 等 ; 

该 服务 器 协议 所 需 软 件 的 基本 安装 、 设 定 、 除 错 等 ， 才 有 办 法 实 作 。 


OD 一 
a 


而 且 ， 每 一 个 项 目 里 面 所 需要 学 习 的 技巧 可 多 着 呢 ! 『 什 么 ?了 要 学 的 东西 那么 多 啊 | 」 是 
啊 | 所 以 ， 不 要 以 为 信息 管理 人 员 整 天 闲 闲 没 事 千 的 呐 ， 大 家 可 是 天 天 在 出 卖 知识 的 ， 同 
时 ， 还 得 天 天 应 付 随 时 可 能 会 发 生 的 各 种 漏洞 与 网 络 攻击 手法 呢 ! 站 不 是 人 和 干 的 工作 ~ 人 


这 么 说 的 话 ， 架 设 服 务 器 丨 的 是 手 难 的 喔 ! 事实 上 ， 架 设 服 务 器 其 实 蛮 简 单 的 哩 ! 叶 ! 一 怎 
么 又 说 架设 服务 器 简单 了 ? 不 是 说 架设 服务 器 难 吗 ?呵呵 | 其 实 『 架 设 服务 器 很 难 」 是 由 于 
朋友 们 学 习 的 角度 有 点 偏差 的 原因 啦 ! 还 记得 当初 进入 理工 学 院 的 时 候 ， 天 天 在 念 的 东西 是 
基础 物理 、 基 础 化 学 、 工 程 数 学 与 流体 力学 等 基础 科目 ， 这 些 科 目 花 了 我 们 一 至 两 学 期 的 时 
闻 ， 而 且 内 容 还 很 难 呐 一 都 是 一 大 堆 的 理论 背 不 完 。 怪 了 ?我 们 进 理工 学 院 是 为 了 求 取 更 高 
深 的 知识 ， 那 么 这 些 基础 知识 学 了 有 什么 用 呐 ? 呵呵 上 更 高 深 的 知识 都 是 建构 在 这 些 基 本 科 
目的 理论 上 面 的 ， 所 以 万 一 你 基础 的 科目 没有 读 好 ， 那 么 专业 科目 里 面 提 到 的 基本 理论 怎么 
可 能 听 的 懂 ? 


这 样 说 应 该 就 不 难 了 解 了 吧 | 没 错 ! 认识 操作 系统 与 该 操作 系统 的 基本 操作 ， 还 有 那个 重要 
的 网 络 基础 ， 就 是 我 们 在 架设 服务 器 前 的 『 基 础 科目 ] 啦 ! 所 以 说 ， 在 进入 Linux 的 服务 器 
世界 之 前 ， 的 不 能 够 略 过 网 络 基 础 的 相关 知识 ， 同 时 ，Linux 系统 的 基本 技能 也 必需 要 能 
够 理解 呐 ! 


好 了 ， 或 许 你 还 是 对 于 Linux 系统 里 面 『 什 么 是 很 重要 的 知识 」 角 不 其 了 解 ， 果 趴 如 此 的 话 ， 
那么 我 们 就 举 个 简单 的 例子 来 说 明 一 下 哩 ! 底下 列 出 一 般 的 架设 服务 器 流程 ， 我 们 由 架设 服 
务 器 的 流程 当中 ， 来 看 一 看 什么 是 重要 的 Linux 相关 技能 吧 | ^ ^。 

Tips: 在 这 一 章 当 中 ， 乌 哥 不 再 就 linux 基础 指令 进行 解析 ， 因 为 在 『 乌 哥 的 Linux 私房 菜 -- 
基础 学 习 篇 上 里 面 已 经 详细 的 介绍 过 了 ! 如 果 持 续 的 介绍 指令 ， 简 直 是 浪费 篇 幅 一 所 以 底下 
仅 介绍 一 个 Linux 基础 学 习 重 要 性 的 分 析 喔 ! 





1.2 基本 架设 服务 器 流程 


虽然 不 同 的 服务 器 提供 的 服务 并 不 相同 ， 而 且 每 种 服务 的 原理 也 不 见得 都 一 样 ， 不 过 ， 每 种 
服务 器 由 规划 、 架 设 到 后 续 的 安全 维护 ， 其 实 整个 流程 是 大 同 小 异 的 。 什 么 ? 你 不 相信 啊 ? 
为 了 让 你 相信 ， 那 我 们 就 来 一 项 一 项 的 分 析 看 看 吧 ! 


1.2.1 网 络 服 务 器 成 功 联机 的 分 析 


底下 我 们 就 整个 服务 器 的 简易 架设 流程 当中 来 分 析 一 下 ， 以 了 解 为 什么 了 解 操作 系统 的 基础 
对 于 网 站 维护 是 相当 重要 的 呢 ? 首先 ， 到 底 我 们 是 如 何 联机 到 服务 器 的 ?联机 到 服务 器 又 取 
得 啥 吹 吹 ?我 们 先 以 底下 这 张 图 示 来 作 个 简单 的 说 明 好 了 : 











| | ”防火墙 服务 器 设 定 信 
| iptables, tcp_ wrappers http, ttp, samba... 
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至 服务 器 所 需 经 过 的 各 项 环节 


先 来 理解 一 下 ， 到 底 我 们 联机 到 服务 器 想 要 得 到 什么 ?举例 来 说 ， 你 联机 到 Youtube 想 要 看 

影片 ， 所 以 对 方 就 提供 影片 囊 流 数据 给 你 ; 你 连 到 Yahoo 想 要 看 新 闻 ， 所 以 对 方 就 提供 新 闻 
的 文本 文件 给 你 ; 你 联机 到 无 名 小 站 想 要 看 美女 ， 对 方 就 传 图 档 给 你 ; 你 联机 Facebook 想 

要 去 种 田 ， 对 方 就 参考 你 之 前 留 下 来 的 记录 ， 从 数据 库 里 面 将 你 的 记录 拿 出 来 传 给 你 。 看 到 

没有 ， 你 联机 到 服务 器 ， 重 点 在 取得 对 方 的 数据 ， 而 一 般 数据 的 存在 就 是 使 用 档案 哆 | 那 你 
有 没有 权限 取得 ? 最 终 与 该 文件 系统 的 设 定 有 关 只 | 


上 图 显示 的 是 : 首先 ， 客 户 端 到 服务 器 的 网 络 要 能 够 通 ， 等 到 客户 端 到 达 服 务 器 后 ， 会 先 由 
服务 器 的 防火 墙 判断 该 联机 能 否 放行 ， 等 到 放行 之 后 才能 使 用 到 服务 器 软件 的 功能 。 而 该 功 
能 又 得 要 通过 SELinux 这 个 细部 权限 设 定 的 项 目 后 ， 才 能 够 读 取 到 文件 系统 。 但 能 不 能 读 到 
文件 系统 呢 ? 这 又 跟 文件 系统 的 权限 (rwx) 有 关 啦 | 上 述 的 每 个 部 分 都 要 能 够 成 功 ， 否 则 就 无 
法 顺利 读 取 数据 史 。 


所 以 ， 根 据 上 面 的 流程 我 们 大 概 可 以 将 整个 联机 分 为 几 个 部 分 ， 包 括 : 网 络 、 服 务 器 本 身 、 
内 部 防火 墙 软件 设 定 、 各 项 服务 配置 文件 、 细 部 权限 的 SELinux 以 及 最 终 最 重要 的 档案 权 


限 。 


1. 


底下 就 分 几 个 细 项 来 谈 谈 嘿 。 
网 络 : 了 解 网 络 基 础 知识 与 所 需 服务 之 通讯 协议 


既然 要 架设 服务 器 ， 首 先 当 然 得 要 了 解 一 下 因特网 。 因 为 不 管 是 哪 种 操作 系统 ， 若 想 要 
与 因特网 联机 ， 这 个 网 络 基 础 就 得 了 解 。 举例 来 说 ， 工 网 域 」 是 经 常会 谈 到 的 概念 ， 当 
你 发 现 一 个 设 定 为 192.168.1.0/255.255.255.0 时 ， 晓 得 那 是 什么 鬼 东 西 吗 ? 如 果 不 知道 
的 话 ， 呵 呵 ! 绝对 无 法 设 定好 网 站 的 啦 ! 另外 ， 为 何 你 需要 服务 器 ? 当然 是 想 要 达成 某 
项 网 络 服务 。 举例 来 说 ， 传 输 档 案 可 以 用 FTP， 那 WWW 可 以 传递 档案 吗 ? 网 芳 可 以 传 
递 吗 ? 各 有 何 用 处 ?哪个 比较 方便 ? 对 于 客户 或 老板 来 说 ， 我 们 所 设 定 的 服务 能 否 满足 
他 们 的 需求 等 等 ， 这 都 需要 了 解 ， 否 则 你 将 一 头 雾 水 啊 | 因此 这 部 份 你 就 得 要 了 解 : 


o 基本 的 网 络 基 础 知识 : 包括 以 太 网 络 硬件 与 协议 、TCP/IP、 网 络 联机 所 需 参 数 等 ; 
o 各 网 络 服务 所 对 应 的 通讯 协议 原理 ， 以 及 各 通讯 协议 所 需 对 应 的 软件 。 
服务 器 本 身 : 了 解 架 网 络 服务 器 之 目的 以 配合 主机 的 安装 规划 


想 要 架设 服务 器 吗 ? 那 .. 架 什么 服务 器 ? 这 个 服务 器 要 不 要 对 Internet 开放 ? 这 个 服务 要 
不 要 针对 客户 提供 相关 账号 ? 要 不 要 针对 不 同 的 客户 账号 进行 例如 磁盘 容量 、 可 活动 空 
间 与 可 用 系统 资源 进行 限制 ? 如 果 要 进行 各 项 资源 的 限制 ， 那 服务 器 操作 系统 应 该 要 如 
何 安装 与 设 定 ? 问题 很 多 吧 ! 所 以 ， 先 了 解 你 要 的 服务 器 服务 目的 之 后 ， 后 续 的 规划 才 
能 陆续 出 炉 。 不 过 ， 如 果 架 站 只 是 为 了 『 练 功 」 而已， 呵呵 | 那 就 不 需要 考虑 太 多 了 ~ 


服务 器 本 身 : 了 解 操作 系统 的 基本 操作 


网 络 服务 软件 是 需要 建 置 在 操作 系统 上 面 的 ， 所 以 基本 的 操作 系统 操作 就 得 要 了 解 才 行 
啊 ! 包括 软件 如 何 安 装 与 移 除 ? 如 何 让 系统 进行 例 行 的 工作 管理 ? 如 何 依据 服务 器 服务 
之 目的 规划 文件 系统 ? 如 何 让 文件 系统 具有 未 来 扩充 性 (LVM 之 类 )? 系统 如 何 管理 各 项 
服务 之 启动 ?系统 的 开机 流程 为 何 ? 系统 出 错时 ， 该 如 何 进行 快速 复原 等 等 ， 这 都 需要 
了 解 的 呢 ! 


内 部 防火 墙 设 定 : 管理 系统 的 可 分 享 资源 


一 部 主机 可 以 拥有 多 种 服务 器 软件 的 运作 ， 而 很 多 Linux distributions 出 厂 的 默认 值 就 已 
经 开放 很 多 服务 给 Internet 使 用 了 ， 不 过 这 些 服务 可 能 并 不 是 你 想 要 开放 的 呢 。 我 们 在 
了 解 网 络 基 础 与 所 需 服 务 的 目的 之 后 ， 接 下 来 就 是 透 过 防火 墙 来 规范 可 以 使 用 本 服务 器 
服务 的 用 户 ， 以 让 系统 在 使 用 上 拥有 较 佳 的 控 管 情况 。 此 外 ， 不 管 你 的 防火 墙 系统 设 定 
的 再 怎么 严格 ， 只 要 是 你 要 开放 的 服务 ， 那 防火 墙 对 于 该 服务 就 没有 保护 的 效果 。 
此 ， 那 个 重要 的 在 线 更 新 软件 机 制 就 一 定 要 定期 进行 ! 否则 你 的 系统 将 会 非常 非常 的 不 
安全 ! 


服务 器 软件 设 定 : 学 习 设 定 技巧 与 开机 是 否 自动 执行 


刚刚 第 一 点 就 提 到 我 们 得 要 知道 每 种 服务 所 能 达成 的 功能 ， 如 此 一 来 才能 够 架设 你 所 需 
要 的 服务 的 网 站 。 那 你 所 需要 的 服务 是 由 哪个 软件 达成 的 ? 同一 个 服务 可 否 有 不 同 的 软 
件 ? 每 种 软件 可 以 达成 的 目的 是 否 相 同 ? 依据 所 需要 的 功能 如 何 设 定 你 的 服务 器 软件 ? 
架设 过 程 中 如 果 出 现 错误 ， 你 该 如 何 观察 与 除 错 ? 可 否定 期 的 分 析 服务 器 相关 的 登录 信 
息 ， 以 方便 了 解 该 服务 器 的 使 用 情况 与 错误 发 生 的 原因 ?了 能 否 通知 多 个 用 户 进 行 联机 测 
试 ， 以 取得 较 佳 的 服务 器 设 定 值 ?所 以 这 里 你 可 能 就 得 要 知道 


o 软件 如 何 安装 、 a 文件 所 在 位 置 ; 
o 器 软件 如 何 设 
o 0 受 定 自动 开机 启动 ? 如 何 观察 启动 的 埠 口 ? 
ss 器 软件 激活 失败 如 何 除 错 ? 如 何 观察 登录 档 ? 如 何 透 过 登录 档 进 行 除 错 ? 
o 透 过 客户 端 进 行 联 机 测试 ， 如 果 失 败 该 如 何 处 理 ? 联机 失败 的 原因 是 服务 器 还 是 防 
on 
o 器 的 设 定 修改 是 否 有 建立 日 志 ? 登 录 档 是 否 有 定期 分 析 ? 
o 器 所 提供 或 分 享 的 数据 有 无 定期 备份 ?如何 定期 自动 备份 或 异地 备份 了 
6， 细 部 权限 设 定 : 包括 SELinux 与 档案 权限 


等 到 你 的 服务 器 全 部 设 定 受 当 ， 最 后 你 所 提供 的 档案 数据 权限 却 是 给 了 『 000 4 的 权限 
分 数 ， 那 岛 哥 很 肯定 的 说 ， 大 家 都 无 法 读 到 你 所 提供 的 数据 啊 ... | 此 外 ， 新 的 
distributions 都 建议 你 要 启动 SELinux ， 那 是 什么 吹 吹 ? 如 果 你 的 数据 放置 于 非 正规 的 
目录 ， 那 该 如 何 处 理 SELinux 的 问题 ? 又 如 何 让 档案 具有 保密 性 或 共享 性 (档案 权限 概念 
与 ACL 等 ) 等 等 ， 这 也 都 是 需要 厘清 的 观念 喔 ! 


上 述 的 服务 器 架设 流程 中 ， 其 实 除了 第 5 点 之 外 ， 其 他 步骤 在 各 服务 器 设 定 都 需要 了 解 啊 | 

而 且 都 是 一 样 的 东西 说 |! 曾 寺 ， 这些 基 础 如 果 学 会 了 ， 最 终 ， 你 只 要 知道 第 5 点 里 面 那 个 软 
件 的 基础 设 定 ， 你 的 服务 器 一 下 子 就 可 以 设 定 完 成 啦 ! 这 样 说 ， 你 是 否 开 始 觉得 基础 学 习 很 
重要 啊 1 ^ 人 和 ^ 


1.2.2 一 个 常见 的 服务 器 设 定案 例 分 析 


上 面 讲 完 后 或 许 你 还 是 不 很 清楚 到 底 这 些 技能 如 何 串 起 来 ? 鸟 哥 这 里 提 J 
分 析 一 下 好 了 ， 这 样 你 应 该 就 比较 容易 清楚 的 知道 为 何 需要 学 习 这 些 吹 吹 。 


e。 网 络 环境 : 假设 你 的 环境 里 面 (不 管 是 家 里 还 是 宿舍 ) 共有 五 部 计算 机 ， 这 五 部 计算 机 需 
要 串 接 在 一 起 ， 且 都 可 以 对 外 联机 ; 

e 对 外 网 络 : 你 的 环境 只 有 一 个 对 外 的 联机 方式 ， 这 里 假设 是 台湾 较 流 行 的 ADSL 或 10M 
的 光纤 这 种 透 过 电话 线 拨 接 的 类 型 ; 

。 额外 服务 : 你 想 要 让 这 五 部 计算 机 都 可 以 上 网 ， 而 且 其 中 还 有 一 部 可 以 做 为 网 络 驱动 器 
机 ， 提 供 同 学 或 家 人 作为 数据 备份 与 分 享 之 用 ; 

e@ 服务 器 管理 : 由 于 你 可 能 需要 进行 远程 管理 ， 因 此 你 这 部 服务 器 得 要 开放 联机 机 制 ， 以 
让 远程 计算 机 可 以 联机 到 这 部 主机 来 进行 维护 ; 


。 防火 墙 管理 : 因为 担心 这 部 做 为 档案 分 享 服务 器 的 系统 被 攻击 ， 因 此 你 需要 针对 IP 来 源 
进行 登入 权力 的 控制 ; 

。 账号 管理 : 另外 ， 由 于 同学 的 数据 有 隐 密 与 共享 之 分 ， 因 此 你 还 得 要 提供 每 个 同学 个 别 
的 账号 ， 且 每 个 账号 都 有 磁盘 容量 的 使 用 限制 ; 

。 后 端 分 析 : 最 后 ， 由 于 担心 系统 出 问题 所 以 你 得 要 让 系统 自动 定期 分 析 磁盘 使 用 量 、 登 
录 文 件 参 数 信息 等 等 。 


在 上 述 的 环境 中 ， 你 要 考虑 的 东西 有 哪些 呢 ? 依据 本 小 节 一 开始 谈 到 的 六 个 步骤 来 分 析 的 
话 ， 你 可 能 需要 底下 这 些 吹 吹 喔 |! 


1.2.2-1 了 解 网 络 基础 
。 硬件 规划 


我 们 想 要 将 五 部 计算 机 串 接 在 一 块 ， 但 是 却 又 只 有 一 个 可 以 对 外 的 联机 ， 此 时 就 得 要 购买 集 
线 器 (hub) 或 者 是 交换 器 (switch) 来 串 接 所 有 的 计算 机 了 。 但 是 这 两 者 有 何不 同 ? 为 何 
switch 比较 贵 ? 我 们 知道 网 络 线 被 称 为 RJ-45 的 网 络 线 ， 但 网 络 线材 竟然 有 等 级 之 分 ， 这 个 
等 级 要 怎么 分 辨 ? 不 同等 级 的 线材 速度 有 没有 差异 ? 等 到 这 些 硬件 基础 了 解 之 后 ， 你 才能 够 
针对 你 的 环境 来 进行 联机 的 设计 。 这 部 份 我 们 等 到 下 一 章 再 来 介绍 。 


e 联机 规划 


由 于 只 有 一 条 对 外 联机 而 已 ， 因 此 通常 我 们 就 建议 你 可 以 用 如 下 的 方式 来 串 接 你 的 网 络 : 









麻 线 器 IP 分 享 器 或 调制解调器 
Linux 服 务 器 


图 1.2-2、 硬 件 的 网 络 联机 示意 图 


透 过 IP 分 享 器 ， 我 们 的 五 部 计算 机 就 都 能 够 上 网 了 。 此 时 你 得 要 注意 ， 能 否 上 网 与 Internet 
有 关 ，lnternet 就 是 那 有 名 的 TCP/IP 通讯 协议 ， 而 想 要 了 解 网 络 就 得 要 知道 啥 是 ODS| 七 层 协 
定 。 我 们 也 知道 能 连 上 Internet 与 所 谓 的 IP 有 关 ， 那 么 我 们 内 部 这 五 部 计算 机 所 取得 的 IP 能 
不 能 拿 来 架 站 ? 也 就 是 说 ，IP 有 没有 不 同 种 类 ? 如 果 IP 分 享 器 突然 挂 了 ， 那 你 的 这 五 部 计 
算 机 能 不 能 联机 玩 魔 普 ? 这 就 考虑 你 的 网 络 参数 设 定 问题 了 | 


e 网 络 基础 


如 果 你 的 同学 或 家 人 跑 来 跟 你 说 ， 网 络 不 通 哩 ! 你 直觉 会 是 什么 ? 硬件 问题 ?软件 问题 ? 还 
是 啥 莫名 其 妙 的 问题 ? 如 果 你 不 懂 网 络 基 础 的 IP 相关 参数 ， 包 括 路 由 设 定 以 及 领域 名 系统 
(DNS) 的 话 ， 肯 定 不 知道 怎么 进行 联机 测试 的 。 所 以 嘿 ， 此 时 你 就 会 被 钨 说 : 『 怎 么 都 不 懂 
还 想 要 管理 我 们 家 网 络 」... 那 时 不 是 很 粮 吗 ? 所 以 要 学 好 一 些 嘛 ! 这 部 份 就 很 复杂 了 ， 和 包括 
TCP/IP, Network IP, Netmask IP, Broadcast IP Gateway DNS IP 等 等 ， 都 需要 理解 喔 | 


了 解 了 这 些 原理 之 后 ， 你 才能 够 进行 除 错 (debug) 的 工作 ， 否 则 ， 错 误 一 出 ， 你 可 能 就 会 被 
加 的 臭 头 的 ! 最 常见 的 错误 中 ， 举 例 来 说 ， 如 果 你 的 主机 明明 就 可 以 使 用 ping 这 个 指令 去 接 
触 远 方 的 主机 (ping IP)， 但 是 就 是 无 法 使 用 ping hostname 去 接触 远方 的 主机 ， 请 问 ， 这 个 
原因 是 什么 呢 ? 了 解 网 络 基础 的 朋友 一 看 就 知道 几乎 是 DNS 出 问题 了 ， 不 晓得 的 朋友 就 是 想 
破 头 也 得 不 到 答案 。 了 既然 知道 出 问题 的 地 方 ， 就 能 够 针对 该 问题 去 处 理 嘛 ! 


网 络 基础 会 影响 到 你 的 网 络 设 定 是 否 正确 ， 这 摧 的 很 重要 呐 ， 因 为 ， 如 果 你 的 网 络 不 通 ， 那 
么 即使 服务 器 架设 成 功 了 ， 别 人 可 以 看 的 到 吗 ? 所 以 说 ， 要 架 站 ， 提 的 得 对 网 络 基础 的 部 分 
下 一 些 功 夫 才 行 的。 关于 网 络 基础 这 部 份 我 们 在 基础 篇 并 没有 谈 过 ， 所 以 我 们 会 在 下 一 章 网 
络 基础 时 再 详 加 说 明 喔 ! 


1.2.2-2 服务 器 本 身 的 安装 规划 与 架 站 目的 的 搭配 


如 同 图 1.2-2 所 示 ，Server 端 是 在 那 五 部 计算 机 之 中 ， 而 且 Server 必须 要 提供 针对 不 同 账号 
给 予 网 络 驱动 器 机 ， 我 们 这 边 会 提供 网 芳 (SAMBA) 这 个 服务 ， 因 为 他 可 以 在 Linux/Windows 
之 间 通 用 之 故 。 且 由 于 需要 提供 账号 给 使 用 者 ， 以 及 想到 未 来 的 磁盘 扩充 情况 ， 因 此 我 们 想 

要 将 /home 独立 出 来 ， 且 使 用 LVM 这 个 管理 模式 ， 并 搭配 Quota 机 制 来 控制 每 个 账号 的 磁 

盘 使 用 量 。 


所 以 说 ， 你 得 知道 Linux 目录 下 的 FHS (Filesystem Hierarchy Standard) 的 规范 ， 否 则 分 割 
槽 给 到 错误 的 目录 ， 会 造成 无 法 开机 ! 那 为 什么 要 将 /home 独立 放 入 一 个 分 割 档 ? 那 是 因为 
quota 仅 支持 filesystem 而 不 支持 单一 目录 啊 ! 好 了 ， 如 果 给 你 一 部 全 新 的 主机 ， 那 你 该 如 何 
安装 你 的 系统 呢 ? 


实 作 题 -全 新 安装 : 请 到 昆山 科大 (http://ftp.ksu.edu.tw/FTP/CentOS/), 义 守 大 学 
(http://ftp.isu.edu.tw/pub/Linux/CentOS/) 或 国家 高 速 网 络 中 心 
(http://ftp.twaren.net/Linux/CentOS/ ) 下 载 最 新 的 Linux 映像 档 来 刻录 (2011/07 可 下 载 最 新 版 
为 CentOS 6.0)， 并 且 依 据 上 述 的 需求 安装 好 你 的 Linux 系统 (最 重要 的 其 实 就 是 那个 分 割 而 
已 ， 其 他 的 动作 可 以 在 安装 完成 后 再 说 )。 答 : 由 于 Linux 的 安装 我 们 已 经 在 基础 篇 内 的 第 四 
章 介 绍 过 了 ， 这 里 我 们 不 再 使 用 图 形 接口 来 说 明 ， 仅 使 用 文字 说 明 来 介绍 你 在 每 个 项 目 应 该 
处 理 的 动作 而 已 。 此 外 ， 由 读者 们 的 响应 发 现 ， 学 习 者 经 常 只 有 一 部 主机 ， 因 此 ， 这 里 我 们 
建议 你 使 用 Virtualbox (http://www.virtualbox.org/) 来 仿 卜 出 一 部 实体 主机 ， 以 安装 你 的 测试 
环境 。 并 请 注意 ， 这 部 主机 将 会 使 用 在 本 书 的 各 个 章节 测试 中 。 


Virtualbox 的 安装 与 设 定 请 自行 参考 其 官网 上 面 的 Documentation 介绍 ， 这 里 不 再 瘟 言 。 只 
是 需要 注意 的 是 ， 若 (1) 需 要 架设 网 站 来 上 网 ， 建 议 网 络 使 用 桥 es (bridge) ， 且 网 络 卡 类 
型 使 用 Intel 的 桌面 计算 机 类 型 即 可 。 (2) 由 于 我 们 未 来 会 教导 NAT 服务 器 ， 因 此 最 好 有 两 张 
网 卡 ， 一 张 使 用 bridge 一 张 使 用 内 网 (intnet) 较 佳 。 而 (3) 磁 盘 配 置 建议 使 用 SATA 类 型 ， 且 
容量 请 给 予 25GB 以 上 。(4) 内 存 至 少 该 给 予 512MB 以 上 ， 最 好 有 1GB 来 测试 。 其 他 的 请 
参考 官网 文件 ， 或 者 使 用 默认 配置 即 可 。 当 然 啦 ， 如 果 你 有 独立 的 实体 机 器 来 安装 ， 那 就 更 
好 了 上 ! 不 需 理 会 这 一 小 段 文字 的 说 明 喔 。 


默认 配置 如 下 : 


。 分 割 表 请 依 如 下 方式 进 
o /+:2GB 
o /boot: 200MB 
o /usr :4GB 
o /var :2GB 
o /tmp :1GB 
o swap : 1GB 
o /home: 5GB， 并 且 使 用 LVM 模式 建 置 
o 其 他 容量 请 保留 ， 未 来 再 来 进行 额外 练习 ! 
。 软件 挑选 时 ， 请 选择 『 basic server 4 项目 即 可 ; 
。 信息 安全 部 分 ， 人 选择 启动，SELinux 选择 强制 (Enforce) ; 
。 假设 IP 分 享 器 有 自动 分 配 IP 的 功能 ， 所 以 网 络 参数 先 选 择 DHCP 即 可 ， 未 来 再 自己 修 
改 。 


实际 流程 大 致 如 下 ( 鸟 哥 以 CentOS 6.0 为 例 说 明 ) 


1， 由 于 我 们 使 用 光驱 开机 来 安装 系统 ， 因 此 得 先进 入 BIOS ， 选 择 光驱 开机 ， 并 且 将 

CentOS 6.x 的 DVD ee 

在 局 动 安装 的 画面 中 ， 选 择 『lnstall or upgrade an existing Sn 来 安装 新 系统 ; 

出 现 『 Disc Found J ， 此 时 建议 可 以 选择 『 Skip 」 即 可 略 过 

在 欢迎 画面 以 和 所 标点 选 『 Next 」; 

语系 数据 可 以 选择 『Chinese(Traditional)( 中 文 (正体 ))J ; 

键盘 格式 保留 『 美 式 英文 」 即 可 ; 

安装 包含 的 装置 类 型 ， 直 接 选 择 默认 的 『 基 本 储存 装置 1 即 可 ，; 

因为 我 们 是 全 新 的 硬盘 ， 因 此 会 出 现 一 个 找 不 到 分 割 表 的 错误 ， 此 时 选择 『 重 新 初始 

化 」 即 可 ; 

9. 进入 网 络 主机 名 的 设 定 ， 先 保留 『localhost.localdomainJ4 即 可 。 同 画面 中 还 有 一 个 『 配 
置 网 络 」 的 选项 ， 我 们 先 不 要 动 他 ! 等 未 来 谈 到 网 络 设 定 再 来 处 理 即 可 ; 

10. 进入 时 区 选择 ， 请 选择 『 亚 洲 /台北 」 即 可 ; 

11.， 出现 root oe 作 ， 这 里 我 们 先 设 定 为 『 centos J」 吧 1! 这 个 密码 太 简 单 ， 系 统 会 出 现 
敬告， 你 选择 『 有 照样 使 用 J 即 可 。 你 也 可 以 自行 设 定 其 他 密码 ; 

12， 出 现 哪 一 的 模式 ， 因 为 我 们 有 自己 的 分 割 考虑 ， 所 以 ， 请 选择 『 建 立 自 定义 分 


”2DDaom 上 wm 


13. 


14. 


15. 


割 格式 」 来 处 理 喔 ! 

在 出 现 分 割 画面 中 ， 先 点 选 『sdaJ 项 目 ， 然 后 点 选 『 建 立 〗 的 按钮 ， 在 出 现 的 窗口 中 ， 
再 点 选 『 标 准 分 割 区 4 项目， 然后 点 『 建 立 」 。 在 最 后 的 窗口 中 填写 挂 载 点 、 容 量 等 信 
息 后 ， 最 终 按 下 『 确 定 」 即 可 。 最 终 画面 有 点 像 这 样 : 

















新 增 分 割 区 
档案 系统 持 南 M(M : | lv 
档案 系统 类 型 ( 工 ) : | ext4 2 | 
Vv 
可 使 用 的 磁 碟 机 (D) : 
大 小 (MB) (S) ; zd 1 
额外 的 大 小 四 项 


@ 固定 大 小 (F) 

〇 填 满分 割 区 直到 (MB) (U) ; 
〇 填 注 分 割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 闹 主 要 分 割 区 (p) 








口 加 密 (E) 
| 取消 (C) | | 确定 (0) 
图 1.2-3、 分 割 
的 参数 下 达 示 意图 
依据 前 面 的 分 割 ,持续 进行 上 述 的 动作 ， 将 所 有 的 分 割 都 处 理 完毕 ， 除 了 /home 之 
外 。 


由 于 /home 想 要 使 用 LVM 的 方式 来 建立 文件 系统 ， 因 此 点 选 『 建 立 〗 后 ， 选 择 『LVM 
实体 卷 册 了 项目， 按 下 建立 ， 在 出 现 的 分 割 窗口 中 容量 填写 5GB， 示 意图 有 点 像 这 样 


新 培 分 割 区 





档案 系统 持 载 点 (M) : 





档案 系统 类 型 (TT) : physical volume (LVM) 
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Vv 
可 使 用 的 磁 碟 机 (D) : 
Ah(MB)S: [oo I 站 
额外 的 大 小 园 项 


@ 固定 大 小 (F) 

〇 填 沽 分 割 区 直到 (MB) (U) ; 

〇 填 满 分 割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 广 主 要 分 割 区 (p) 

由 加 密 (E) 





| 取消 (C) | | 确定 (O) | 





图 1.2-4、 分 割 
出 LVM 分 割 槽 的 方式 


接 下 来 回 到 原本 的 分 割 画面 后 ， 按 下 『 建 立 」 并 选择 『LVM 卷 册 群 组 」 项 目 ， 在 出 现 的 
窗口 中 ， 卷 册 组 名 填写 『serverJ ， 并 且 在 右 下 方 的 逻辑 卷 册 部 分 按 下 『 新 增 」 ， 又 会 
额外 出 现 一 个 窗口 ， 此 时 就 卉 入 /home 的 相关 参数 啦 ! 注意 ， 逻 辑 卷 册 我 们 这 里 设 定 为 
myhome 喔 ! 画面 有 点 像 底下 这 样 : 


16. 


17. 


18. 


建立 LVM 卷 山 群 组 


崖 机 群 组 名 黎 (V) : ee 
实 阻 局 区 (P) : 14MB 1 | 
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sda2 5000.00 MB 









建立 带 辑 举 册 
档案 系统 持 载 就 (M) ， |home 




















































已 用 空间 : 2 
剩 诊 空间 : | 档案 系统 类 型 (F) : 。 | ext4 < | 
mR) eR) 
通 辑 涯 而 (L)| mhome | 
大 小 (MB) (5) : 。 |4996 | 
脖 辑 涯 本 名 
口 加 密 (E) (最 大 空间 为 4996 MB) | 新 给 (A)| 
| 取消 (C) || 确定 (0) | | 坊 朝 (E) 
一 除 (D) | 
图 1.2- 











5、 建 立 最 终 的 LVM 的 LV 与 /home 


回 到 原本 的 分 割 画面 ， 最 终 的 显示 有 点 像 底 下 这 样 ， 然 后 请 按 下 『 下 一 步 上 继续 。 但 由 
于 新 建 分 割 需 要 格式 化 ， 所 以 又 会 出 现 一 个 警告 窗口 ! 没 问 题 的 ， 选 择 『 格 式 化 」 以 及 
『 将 变更 写 至 磁盘 」 吧 | 





大 小 持 载 点 / 


po (MB) ，RAID/ 稚 册 i el 
六 LVM 卷 出 群 组 
vy server 4996 
myhome 4996 /home ext4 V 
也 硬 碟 
v sda 
sdal 200 /boot ext4 YA 
sda2 5000 server physical volume (LVM) VV 
sda3 4000 /usr ext4 a 
~ sda4 16399 延伸 
sda5 2000 / ext4 v 图 1.2-6、 分 割 的 
最 终结 果 


出 现 启 动 加 载 程序 作业 ， 都 使 用 默认 值 即 可 ， 请 按 『 下 一 步 上 ; 


出 现 安装 类 型 ， 因 为 我 们 主机 的 角色 为 服务 器 ， 因 此 选择 『Basic ServerJ 项 目 ! 其 他 
项 目 保 留 默 认 ， 然 后 按 下 『 下 一 步 ] 就 开始 进行 安装 程序 史 ! 

经 过 一 段 时 间 的 等 待 ， 出 现 重新 启动 后 ， 你 就 重新 启动 吧 1 喔 ! 要 记得 将 DVD 拿 出 来 
喔 ! (怪异 的 是 ， 鸟 哥 第 一 次 安装 后 ， 竟 然 发 现 电源 管理 有 问题 ， 得 在 kernel 处 增加 


noapic 才能 顺利 开机 呢 | ) 
装 好 并 重新 启动 后 ， 就 会 进入 runlevel 3 的 纯 文本 界面 ! 因为 是 服务 器 嘛 ! 


1.2.2-3 服务 器 本 身 的 基本 操作 系统 操作 


既然 我 们 这 部 主机 得 要 提供 不 同 账号 来 使 用 他 们 自己 的 网 络 驱动 器 ， 因 此 还 需要 建立 账号 
啊 ， 使 用 磁盘 配额 (quota) 等 等 的 。 那 么 你 会 不 会 建立 账号 呢 ? 你 会 不 会 建 置 共享 目录 呢 ? 
你 能 不 能 处 理 每 个 账号 的 Quota 配额 呢 ? 如 果 /home 的 容量 不 足 了 ， 你 会 不 会 放大 /home 
的 容量 呢 ?有 没有 办 法 将 系统 的 磁盘 使 用 情况 定期 的 发 送 邮 件 给 管理 员 呢 ? 这 些 都 是 基本 的 
维护 行为 喔 1 我 们 底下 就 以 几 个 实际 例子 来 练习 看 看 你 的 基础 能 力 吧 ! 


例题 -大 量 建 置 账号 : 假设 我 的 五 个 朋友 账号 分 别 是 vbirduser{1,2,3,4,5}， 且 这 五 个 朋友 未 来 
想 要 共享 一 个 目录 ， 因 此 应 该 要 加 入 同一 个 群 组 ， ee vbirdgroup， 且 这 五 个 账 
号 的 密码 均 为 password 。 那 该 如 何 建 置 这 五 个 账号 ? 答 : 你 可 以 写 一 支 脚 本 程序 来 进行 上 述 
的 工作 喔 ! 


[root@localhost ~]# mkdir bin 
[root@localhost ~]# cd /root/bin 
[root@localhost bin]# vim useradd.sh 
#!1/bin/bash 
groupadd vbirdgroup 
for username in vbirduser1 vbirduser2 vbirduser3 vbirduser4 vbirduser5 
do 
useradd -G vbirdgroup $username 
echo "password" &#124; passwd --stdin $username 
done 
[root@localhost bin]# sh useradd.sh 
[root@localhost bin]# id vbirduser1 
uid=501(vbirduser1) gid=502(vbirduser1) groups=502(vbirduser1),501(vbirdgroup) 
context=root:system_r:unconfined t:SystemLow-SystemHiIgh 


最 后 利用 id 这 个 指令 来 查询 看 看 ， 是 否 群 组 的 支持 是 对 的 啊 |! 


例题 -共享 目录 的 权限 : 这 五 个 朋友 的 共享 目录 建 置 于 /home/vbirdgroup 这 个 目录 ， 这 个 目录 
只 能 给 这 五 个 人 使 用 ， 且 每 个 人 均 可 于 该 目录 内 进行 任何 动作 ! 若 有 其 他 人 则 无 法 使 用 (没有 
权限 )， 那 该 如 何 建 置 这 个 目录 的 权限 呢 ? 答 : 考虑 到 共享 目录 ， 因 此 目录 需要 有 SGID 的 权 
限 才 行 ! 否则 个 别 群 组 数据 会 让 这 五 个 人 彼此 间 无 法 修改 对 方 的 数据 的 。 因 此 需要 这 样 做 : 


[root@localhost ~]# mkdir /home/vbirdgroup 

[root@localhost ~]# chgrp vbirdgroup /home/vbirdgroup 

[root@localhost ~]# chmod 2770 /home/vbirdgroup 

[root@localhost ~]# 11 -d /home/vbirdgroup 

drwxrws---. 2 root 4096 2011-07-14 14:49 hb 0 
# 上 面 特殊 字体 的 部 分 就 是 你 需要 注意 的 部 分 哩 1 特别 注意 那个 权限 的 s 功能 


例题 -Quota 实 作 : 假设 这 五 个 用 户 均 需要 进行 磁盘 配额 限制 ， 每 个 用 户 的 配额 为 2GB (hard) 
oo 
quota 数据 文件 建 置 、quota 启动 、 建 立 用 户 quota 信息 等 过 程 。 整个 过 程 在 基础 篇 有 讲 过 


了 ， 民 快 速 的 带领 进行 一 次 吧 ! 


# 1\， 启动 filesystem 的 Quota 支持 
[root@localhost ~]# vim /etc/fstab 


UUID=01acf085-69e5-4474-bbc6-dc366646b5c8 / ext4 defaults 1 1 
UUID=eb5986d8-2179-4952-bffd-eba31fb063ed /boot ext4 defaults 1 2 
/dev/mapper/server-myhome /home ext4 defaults,usrquota,grpquota 1 2 
UUID=605e815f-2740-4coe-9ad9-14e069417226 /tmp ext4 defaults 12 

. (底下 省 略 ).... 


# 因为 是 要 处 理 用 户 的 磁盘 ， 所 以 找到 的 是 /home 这 个 目录 来 处 理 的 啊 ! 

# 另外 ，Cent0S 6.X 以 后 ， 默 认 使 用 UUID 的 磁盘 代号 而 非 使 用 文件 名 。 

# 不 过 ， 你 还 是 能 使 用 类 似 /dev/sdal 之 类 的 档 名 啦 ! 

[root@localhost ~]# umount /home; mount -a 

[root@localhost ~]# mount &#124; grep home 
/dev/mapper/server-myhome on /home type ext4 (rw,usrquota,grpquota) 
# 做 完 使 用 mount 去 检查 一 下 /home 所 在 的 filesystem 有 没有 上 述 的 字眼 ! 


# 2\， 制 作 Quota 数据 文件 ， 并 启动 Quota 支持 

[root@localhost ~]# quotacheck -avug 

quotacheck: Scanning /dev/mapper/server-myhome [/home] done 
(OR 

# 会 出 现 一 些 错误 的 警告 信息 ， 但 那 是 正常 的 |! 出 现 上 述 的 字样 就 对 了 1 

[root@localhost ~]# quotaon -avug 

/dev/mapper/server-myhome [/homel]: group quotas turned on 

/dev/mapper/server-myhome [/home]: user quotas turned on 


# 3\， 制作 Quota 数据 给 用 户 
[root@localhost ~]# edquota -u vbirduser1 
Disk quotas for user vbirduser1 (uid 500): 
Filesystem blocks soft hard inodes soft hard 
/dev/mapper/server-myhome 20 1800000 2000000 5 0 0 
# 因为 Quota 的 单位 是 KB ， 所 以 这 里 要 补 上 好 多 9 啊 1 看 的 眼睛 都 花 了 |! 


[root@localhost ~]# edquota -p vbirduser1 vbirduser2 
# 持续 作 几 次 ， 将 vbirduser{3,4,5} 通通 补 上 去 ! 


[root@localhost ~]# repquota -au 
*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 


Block limits File limits 
User used soft hard grace used soft hard grace 
root Ss 24 0 0 3 0 0 
vbirduser1 -- 20 1800000 2000000 S 0 0 
vbirduser2 -- 20 1800000 2000000 5 0 0 
vbirduser3 -- 20 1800000 2000000 5 0 0 
vbirduser4 -- 20 1800000 2000000 5 0 0 
vbirduser5 -- 20 1800000 2000000 S 0 0 
# 看 到 没 ? 上 述 的 结果 就 是 有 发 现 到 设 定 的 Quota 值 嘿 1 整个 流程 就 是 这 样 ! 


例题 -文件 系统 的 放大 (LVM) : 纯粹 假设 的 ， 我 们 的 /home 不 够 用 了 ， 你 想 要 将 /home 放大 到 
7GB 可 不 可 行 啊 ? 答 : 因为 当初 就 担心 这 个 问题 ， 所 以 /home 已 经 是 LVM 的 方式 来 管理 

了 。 此 时 我 们 要 来 瞧 瞧 VG 够 不 够 用 ， 如 果 够 用 的 话 ， 那 就 可 以 继续 进行 。 如 果 不 够 用 呢 ? 
我 们 就 得 要 从 PV 着 手 哩 1 整个 流程 可 以 是 这 样 来 观察 的 。 


# 1\， 先 看 看 VG 的 量 够 不 够 用 : 
[root@localhost ~]# vgdisplay 
--- Volume group --- 


VG Name server 
System ID 
Format Jvm2 
人 
VG Size 4.88 GiB &lLt;== 只 有 区 区 5G 左 右 
PE Size 4.00 MiB 


Total PE 1249 


Alloc PE / Size 1249 / 4.88 GiB 


Free PE / Size 0 /0 &1lt;== 完 全 没有 剩余 的 容量 了 ! 
VG UUID SvAEoUu-2quf-Z1Tr-Wsdz-2UY8-Cmfm-NiQ0af 


# 盖 惨 ! 已 经 没有 多 余 的 VG 容量 可 以 使 用 了 ! 因此 ， 我 们 得 要 增加 PV 才 行 。 


# 2\， 开 始 制作 出 所 需要 的 partition 吧 ! 作 为 PV 用 的 ! 
[root@localhost ~]# fdisk /dev/sda &lt;== 详 细 流 程 我 不 写 了 |! 自己 瞧 


Command (m for help): p 


Device Boot Start End Blocks Id System 
A 
/dev/sda8 1812 1939 1024000 83 Linux &lt;== 最 后 一 个 磁 柱 


Command (m for help): n 
First cylinder (1173-3264，default 1173): 1940 &]lt;== 上 面 查 到 的 号 码 加 1 
Last cylinder, +cylinders or +size{K,M,G} (1940-3264, default 3264): +2G 


Command (m for help): t 
Partition number (1-9): 9 
Hex code (type L to list codes): 8e 


Command (m for help): p 
Device Boot Start End Blocks Id System 
/dev/sdag9 1940 2201 2104515 8e Linux LVM &lt;== 得 到 /dev/sda9 


Command (m for help): w 

[root@localhost ~]# partprobe &]lt;== 在 虚拟 机 上 面 得 要 reboot 才 行 ! 
# 3\, 将 /dev/sda9 加 入 PV， 并 将 该 PV 加 入 server 这 个 VG 吧 
[root@localhost ~]# pvcreate /dev/sda9 


[root@localhost ~]# vgextend server /dev/sda9 
[root@localhost ~]# vgdisplay 


,.,. (前 面 省 略 ).... 

VG Size 6.88 GiB &1t;== 这 个 VG 最 大 就 是 6.88G 啦 
0 

Free PE / Size 513 / 2.00 GiB &lt;== 有 多 出 2GB 的 容量 可 用 了 ! 


# 4\， 准 备 加 大 /home， 开 始 前 ， 还 是 先 观察 一 下 才 增 加 LV 容量 较 好 1! 
[root@localhost ~]# lvdisplay 
--- Logical volume --- 


LV Name /dev/server/myhome &1lLt;== 这 是 LV 的 名 字 |! 

VG Name server 

0 

LV Size 4.88 GiB &]lt;== 只 有 5GB 左右 ， 需 要 增加 2GB 鹃 
人 


# 看 起 来 ， 是 需要 增加 容量 史 ! 我 们 使 用 lvresize 来 扩大 容量 吧 |! 


[root@localhost ~]# lvresize -L 6.88G /dev/server/myhome 
Rounding up size to full physical extent 6.88 GiB 
Extending logical volume myhome to 6.88 GiB &]lt;== 处 理 完毕 虽 | 
Logical volume myhome successfully resized 

# 看 来 确实 是 扩大 到 6.88GB 哆 ! 开始 处 理 文件 系统 吧 ! 


# 守 DN 人 入 SE 人 六: 

[root@localhost ~]# resize2fs /dev/server/myhome 

resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/server/myhome is mounted on /home; on-line resizing required 
old desc_ blocks = 1, new desc blocks = 1 

Performing an on-line resize of /dev/server/myhome to 1804288 (4k) blocks. 

The filesystem on /dev/server/myhome is now 1804288 blocks long. 


[root@localhost ~]# df -h 
光 作 系统 Size Used Avail Use% 挂 载 点 
/dev/mapper/server-myhome 

6.8G 140M 6.4G 3% /home 
于 
# 可 以 看 到 文件 系统 确实 有 放大 到 6.8G 喔 1! 这样 了 解 了 吗 ? 


做 完 上 面 的 实 作 之 后 ， 现 在 你 晓得 为 什么 在 基础 篇 的 时 候 ， 我 们 一 直 强 调 一 些 有 的 没有 的 了 
吧 ? 因为 那些 东西 在 这 里 都 用 的 上 | 如 果 本 章 这 些 题目 你 都 不 会 ， 甚 至 连 为 什么 要 作 这 些 东 
西 都 不 懂 的 话 ， 那 得 赶紧 回去 阅读 基础 篇 ， 不 要 再 念 下 去 了 ! 会 非常 非常 辛苦 的 哟 | 


1.2.2-4 服务 器 内 部 的 资源 管理 与 防火 墙 规划 


你 可 知道 本 章 第 一 个 实 作 题 安装 好 了 你 的 Linux 之 后 ， 0 少 服务 呢 ? 这 些 服 
td 0 ? 这 些 服务 有 没有 漏洞 或 者 是 能 不 能 进行 网 络 在 线 更 新 ?这 
些 服务 如 果 没 有 要 用 到 ， 能 不 能 关闭 ? 此外， 这 些 服务 能 不 和 人 合 部 分 的 来 源 使 用 而 不 
是 对 整个 Internet 开放 ? Ra 解 的 呢 。 底下 我 们 就 以 几 个 小 案例 来 让 你 了 解 一 下 ， 
到 底 哪些 数据 是 你 必须 要 熟悉 的 呢 ? 


例题 -不 同 runlevel 的 服务 控 管 : 在 目前 的 runlevel 之 下 ， 取 得 预 设 启动 的 服务 有 哪些 呢 ? 此 
外 ， 我 的 系统 目前 不 想 启动 动 网 络 挂 载 (autofs) 机 制 ， 我 不 想 要 启动 该 服务 的 话 ， 该 如 何 
处 理 ? 答 : 默认 的 runlevel 可 以 使 用 runlevel 这 个 指令 来 处 理 ， 那 我 们 预 设 使 用 3 号 的 
runlevel ， 因 此 你 可 以 这 样 做 : 


[root@localhost ~]# LANG=C chkconfig --list &#124; grep '3:on' 


上 面 指令 的 输出 讯息 中 ， 会 有 autofs 服务 是 在 启动 的 状态 ， 如 果 想 要 关闭 他 ， 可 以 这 样 做 : 


[root@localhost ~]# chkconfig autofs off 
[root@localhost ~]# /etc/init.d/autofs stop 


上 面 提 到 的 仅 只 是 有 启动 的 服务 ， 如 果 我 想 要 了 解 到 启动 监听 TCP/UDP 封包 的 服务 (网 络 封 
包 格 式 下 章 会 谈 到 )， 那 该 如 何 处 理 ? 了 可 以 参考 底下 这 个 练习 题 喔 ! 


题 -查询 启 动 在 网 络 监 听 的 服务 我 想 要 检查 目 育 I 文部 主机 启动 在 网 络 端 口 监听 的 服务 有 哪 
些 ， 并 且 关 闭 不 要 的 程序 ， 该 如 何 进 行 ? 答 : 网 络 监 听 的 端口 分 析 ， 可 以 使 用 如 下 的 方式 分 
析 到 : 

[root@localhost ~]# netstat -tulnp 


Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 © 0.0.0.0:111 0.0.0.0:* LISTEN 1005/rpcbind 

tcp 0 © 0.0.0.0:22 0.0.0.0:* LISTEN 1224/sshd 

tcp 0 O0127.0.0.1:25 0.0.0.0:* LISTEN 1300/master 

tcp 0 © 0.0.0.0:35363 0.0.0.0:* LISTEN 1023/rpc.statd 
tcp 0 (0f pg ola ba 2 LISTEN 1005/rpcbind 

tcp 0 O03:22 2 LISTEN 1224/sshd 

tcp 0 O25 ER LISTEN 1300/master 

tcp 0 0 :::36985 LISTEN 1023/rpc.statd 
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1108/avahi-daemon: 
udp 0 9 0.0.0.0:58474 0.0.0.0:* 1108/avahi-daemon: 


> 
a 
ms 
3 


现在 假设 我 想 要 关闭 avahi-daemon 这 个 服务 以 移 除 该 服务 启动 的 堆 口 时 ， 应 该 要 如 同上 题 一 
样 ， 利 用 /etc/init.d/xxx stop 关闭 ， 再 使 用 chkconfig 去 处 理 开 机 不 启动 的 行为 ! 不 过 ， 因 为 
启动 的 服务 名 称 与 实际 指令 可 能 不 一 样 ， 我 们 在 netstat 上 面 看 到 的 program 项 目 是 实际 软 
件 执行 文件 ， 可 能 与 /etc/init.d/ 底下 的 服务 档 名 不 同 ， 因 此 可 能 需要 使 用 grep 去 搞 取 数据 ， 
或 者 透 过 那 好 棒 的 [tab] 按键 去 取得 相关 的 服务 档 名 才 行 。 


[root@localhost ~]# /etc/init.d/avahi-daemon stop 
[root@localhost ~]# chkconfig avahi-daemon off 


我 们 常常 会 开玩笑 说 ， 如 果 对 外 开放 的 软件 没有 更 新 ， 那 防火 墙 不 过 是 个 屁 ! 所 以 啦 ， 软 件 
更 新 是 相当 重要 的 。 在 CentOS 内 ， 我 们 已 经 有 yum 来 进行 在 线 更 新 了 ， 你 当然 可 以 自己 利 
用 更 改 配置 文件 来 指定 yum 要 去 查询 的 映像 站 (mirror site)， 不 过 这 里 鸟 哥 建议 使 用 预 设 的 设 
定 值 即 可 ， 因 为 系统 会 主动 的 判断 较 近 的 映像 站 (虽然 常常 会 误 判 ) ， 不 需要 人 工 微调 啦 ! 


例题 -利用 yum 进行 系统 更 新 假设 你 的 网 络 已 经 通 了 ， 目 前 你 想 要 处 理 全 系统 更 新 ， 同 时 需要 
每 天 凌晨 2:15 自动 进行 全 系统 更 新 ， 该 如 何 作 ? 答 : 全 系统 更 新 使 用 yum update 即 可 。 但 

是 由 于 yum update 需要 使 用 者 手动 输入 y 去 确认 昌 的 要 安装 ， 因 此 在 crontab 里 头 处 理 相关 
任务 时 ， 就 得 要 使 用 yum -y update 了 |! 


[root@localhost ~]# yum -y update 
# 第 一 次 作 会 进行 非常 之 久 ! 因为 系统 旧 的 有 些 数 据 要 更 新 纺 ! 还 是 得 等 待 的 ! 


[root@localhost ~]# vim /etc/crontab 
15 2 * * * root /usr/bin/yum -y update 


不 过 这 里 还 是 要 额外 提醒 各 位 喔 ， 如 果 你 的 系统 有 更 新 过 核心 (kernel) 这 个 软件 ， 务 必要 重 
新 启动 啊 ! 因为 核心 是 在 开机 时 载 入 的 ， 一 经 加 载 就 无 法 在 这 次 的 操作 中 更 改版 本 的 。 


那个 crontab 档案 的 处 理 ， 以 及 crontab -e 的 指令 应 用 ， 内 容 的 写法 字段 不 太一 样 ， 请 自行 
参考 基础 篇 的 说 明 去 加 强 学 习 喔 ! 


在 通过 了 上 述 的 各 项 设 定 后 ， 我 们 的 Linux 系统 应 该 是 比较 稳定 些 了 ， 再 接着 下 来 ， 我 们 要 

开始 来 设 定 资源 的 保护 了 ! 例如 ssh 这 个 远程 可 登入 的 服务 得 要 限制 住 可 登入 的 IP 来 源 ， 以 
及 制订 防火 墙 规则 流程 等 。 这 部 份 则 是 本 教学 文件 后 续 要 着 重 介 绍 的 部 分 ， 留 待 后 面 章节 再 
来 谈 吧 | 


Tips: 程序 设计 师 所 撰写 的 程序 并 非 十 全 十 美的 ， 所 以 ， 总 是 可 能 有 些 地 方 没有 设计 好 ， 因 此 
就 造成 所 谓 的 『 程 序 漏洞 ] 史 。 程 序 汤 洞 所 造成 的 问题 有 大 有 小 ， 小 问题 可 能 是 造成 主机 的 

当 机 ， 大 问题 则 可 能 造成 主机 的 机 密 数 据 外 流 ， 或 者 主机 的 操控 权 被 cracker 取得 。 在 现今 

网 络 发 达 的 年 代 ， 程 序 的 漏洞 问题 是 造成 主机 被 攻击 、 入 侵 的 最 主要 因素 之 一 了 。 因此 ， 快 

速 、 有 效 的 针对 程序 漏洞 进行 修补 ， 是 一 个 很 重要 的 维护 课题 。 


1.2.2-5 服务 器 软件 设 定 : 学 习 设 定 技 巧 与 开机 是 否 自动 执行 


这 部 份 就 是 整个 服务 器 架设 篇 的 重要 内 容 了 ! 前 一 小 节 也 曾 谈 过 ， 在 服务 器 架设 部 分 你 得 要 
熟悉 相当 多 的 信息 ， 否 则 未 来 维护 会 显 的 很 麻烦 。 我 们 以 本 章 提 到 的 大 前 提 为 例 ， 我 们 想 要 
提供 一 个 网 络 驱动 器 机 ， 那 么 网 络 驱动 器 机 使 用 的 机 制 有 哪些 呢 ? 常见 的 除了 网 页 形式 的 分 
享 磁盘 之 外 ， 还 有 常见 的 网 芳 以 及 Linux 的 NFS 方式 (后 面 章节 都 会 继续 谈 到 ) 。 


由 于 假设 局 域 网 络 内 的 操作 系统 大 部 分 是 Windows 好 了 ， 因 此 网 芳 应 该 是 个 比较 合理 的 磁盘 
分 享 选择 。 那么 网 芳 到 底 启动 了 多 少 个 笑 口 ? 是 如 何 持 续 提供 网 芳 数据 的 ? 提供 的 账号 有 没 
有 限制 ?提供 的 权限 该 如 何 设 定 是 否 可 规定 谁 可 登入 菜 些 特定 目录 ?针对 网 芳 服务 的 堆 口 
该 如 何 设 定 防火 墙 ? 如 果 系 统 出 错 该 如 何 查询 错误 信息 ? 这 个 网 芳 在 Linux 底下 要 使 用 什么 
服务 来 达成 ? 这 都 是 需要 学 习 的 呢 ! 


直接 告诉 你 ， 网 芳 的 制作 在 Linux 底下 是 由 Samba 这 套 软 件 来 达成 的 。Samba 的 详细 设 定 
我 们 会 在 后 续 章 节 介 绍 。 这 里 要 告诉 你 的 是 ， 架 设 一 个 网 芳 服务 器 ， 你 应 该 要 会 的 基础 知识 
有 哪些 ? 以 及 告诉 你 ， 你 可 以 背 下 来 的 架设 流程 中 ， 理 论 上 应 该 要 经 过 哪些 步骤 的 过 程 ， 这 
样 对 你 未 来 处 理 服务 器 设 定时 ， 才 会 有 点 帮助 啊 ! 


1 软件 安装 与 查询 


刚刚 我 们 已 经 知道 网 芳 需 要 安装 的 是 Samba 这 套 软 件 ， 那 么 该 如 何 查询 有 没有 安装 呢 ? 
如 果 没 有 安装 又 该 如 何 安装 呢 ? 那 就 来 处 理 处 理 。 


例题 : 查 出 你 的 系统 底下 有 没有 samba 这 套 软 件 ， 若 无 ， 请 自行 查询 与 安装 该 软件 答 : 
已 安装 的 软件 可 以 使 用 rpm 去 察看 看 ， 尚 未 安装 的 则 使 用 yum 功能 。 所 以 可 以 这 样 进 行 
看 看 : 


[root@localhost ~]# rpm -qa &#124; grep -i samba 
samba-common-3.5.4-68.e16 0.2.x86_64 
samba-client-3.5.4-68.e16 0.2.x86_64 
samba-winbind-clients-3.5.4-68.e16 0.2.x86 64 

# 看 起 来 samba 主 程序 尚未 被 安装 啊 ! 此 时 就 要 这 样 做 : 


[root@localhost ~]# yum search samba &lt;== 先 查 一 下 有 没有 相关 的 软件 
[root@localhost ~]# yum install samba &lLt;== 找 到 之 后 ， 那 就 安装 吧 | 

# 那么 如 何 找 出 配置 文件 呢 ? 因为 我 们 总 是 需要 修改 配置 文件 啊 ! 这 样 做 吧 : 
[root@localhost ~]# rpm -qc samba samba-common 
/etc/logrotate.d/samba 

/etc/pam.d/samba 

/etc/samba/smbusers 

/etc/samba/lmhosts 

/etc/samba/smb.conf 

/etc/sysconfig/samba 


2.， 服务 器 主 设 定 与 相关 设 定 


这 部 份 可 就 麻烦 了 ! 因为 你 得 要 了 解 到 ， 你 到 底 需 要 的 服务 是 什么 ， 针 对 该 服务 需要 设 
定 的 项 目 有 哪些 ? 这 些 设 定 需要 用 到 什么 指令 或 配置 文件 等 等 。 一 般 来 说 ， 你 得 要 先 罕 
看 这 个 服务 的 通讯 协议 是 啥 ， 然 后 了 解 该 如 何 设 定 ， 接 下 来 编辑 主 配置 文件 ， 根 据 主 配 
置 文件 的 数据 去 执行 相对 应 的 指令 来 取得 正确 的 环境 设 定 。 以 我 们 这 里 的 网 芳 为 例 ， 我 
们 需要 设 定 工作 组 ， 然 后 需要 设 定 可 以 使 用 网 芳 的 身份 为 非 匿名 ， 接 下 来 就 能 够 开始 处 
理 主 配置 文件 。 因 此 你 需要 有 : 


ij， 先 使 用 vim 去 编辑 /etc/samba/smb.conf 配置 文件 ; 

ii， 利 用 useradd 建立 所 需要 的 网 芳 实 体 用 户 ; 

ji 利用 smbpasswd 建立 可 用 网 芳 的 实体 帐户 ; 

iv. 利用 testparm 测试 一 下 所 有 数据 语法 是 否 正 确 ; 

V. 检查 看 看 在 网 芳 内 分 享 的 目录 权限 是 否 正确 。 这些 设 定 都 搞定 之 后 ， 才 能 够 继续 进 
行 启动 与 观察 的 动作 只 |! 而 想 要 了 解 更 多 关于 samba 的 相关 设 定 技巧 与 应 用 ， 除 了 
google 大 神 之 外 ，/usr/share/doc 内 的 文件 ， 以 及 man 这 个 好 用 的 家 伙 都 必须 要 去 
阅读 一 番 ! 

3， 服 务 器 的 启动 与 观察 
在 设 定 受 当 之 后 ， 接 下 来 当然 就 是 启动 该 服务 器 了 。 一 般 服 务 器 的 启动 大 多 是 使 用 stand 
alone 的 模式 ， 如 果 是 比较 少 用 的 服务 ， 如 telnet ， 就 比较 有 可 能 使 用 到 super daemon 
的 服务 启动 类 型 。 我 们 这 里 依 昌 使 用 samba 为 例 ， 来 瞧 瞧 如 何 局 动 他 吧 | 
例题 : 如 何 启 动 samba 这 个 服务 呢 ?并且 设 定好 开机 就 启动 他 1 答 : 想 要 了 解 如 何 局 
动 ， 得 要 使 用 rpm 去 找 一 下 软件 的 启动 方式 ， 然 后 再 去 处 理 启 动 的 行为 嘿 ! 


# 先 查询 一 下 启动 的 方式 为 何 : 

[root@localhost ~]# rpm -ql samba &#124; grep ' /etc' 
/etc/logrotate.d/samba 

/etc/openldap/schema 

/etc/openldap/schema/samba.schema 

/etc/pam.d/samba 

/etc/rc.d/init.d/nmb 

/etc/rc.d/init.d/smb &lt;== 所 以 说 是 stand alone 且 档 名 为 smb，nmb 两 个 ! 
/etc/samba/smbusers 


# 开始 启动 他 1 且 设 定 开机 就 启动 喔 ! 
[root@localhost ~]# /etc/init.d/smb start 
[root@localhost ~]# /etc/init.d/nmb start 
[root@localhost ~]# chkconfig smb on 
[root@localhost ~]# chkconfig nmb on 


# 接 下 来 ， 让 我 们 观察 一 下 有 没有 启动 相 关 的 埠 口 吧 ! 
Ce ~]# netstat un Se grep '[sn]jmbd' 


tcp 0 0 9 LISTEN 1484/smbd 
tcp 0 0 11445 i LISTEN 1484/smbd 
udp 0 0 0.0.0.0:137 0.0.0.0:* 1492/nmbd 
udp 0 0 0.0.0.0:138 0.0.0.0:* 1492/nmbd 


最 终 我 们 可 以 看 到 启动 的 堆 口 有 137, 138, 139, 445 喔 ! 
， 客户 端的 联机 测试 


接 下 来 就 是 要 找 一 部 机 器 做 为 客户 端 ， 然 后 尝试 使 用 本 机 器 提供 的 网 芳 功 能 啊 ! 这 样 才 
能 够 了 解 设 定 是 对 还 是 错 1! 相关 的 客户 端 联机 与 服务 器 paw ， 例如 WWW 服 
务 器 就 要 使 用 browser 去 测试 ， 网 芳 当 然 就 得 要 使 用 网 芳 客 户 端 程序 哩 ! 这 部 份 也 是 本 
服务 器 篇 要 讲 的 基本 内 容 啦 ! 


但 是 很 多 时 刻 ， 客 户 端 联机 测试 不 成 功 并 非 是 服务 器 设 定 的 问题 ， 很 多 是 客户 端 使 用 方 
式 不 对 ! 包括 客户 端 自己 的 防火 墙 没 开 啦 ， 客 户 端的 账号 权限 密码 等 等 记 错 啦 等 等 的 ， 
问题 很 大 啦 ! 总 体 来 说 : [教育 你 的 Client 使 用 者 具 ee 础 的 Linux 账号 、 群 组 、 
档案 权限 等 概念 ， 才 是 一 个 彻底 解决 问题 的 方法 」， 但 这 也 是 最 难 的 部 分 


错误 克服 与 观察 登录 档 


一 般 来 说 ， 如 果 Linux 上 面 的 服务 出 现 问 题 时 ， 通 常会 在 屏幕 上 面 直 接 告 诉 你 错误 的 原 
因为 何 ， 所 以 你 得 要 注意 屏幕 讯息 。 老 实说 ， 屏 幕 讯息 通常 就 已 经 告诉 你 该 如 何 处 理 
了 。 如 果 还 不 能 处 理 呢 ?你 可 以 这 样 处 置 看 看 : 


o 先 看 看 相关 登录 文件 有 没有 错误 讯息 ， 举 例 来 说 ，samba 除了 会 在 
/Var/log/messages 里 面 列 出 讯息 外 ， 大 部 ne ,应 该 是 摆 放 在 /var/log/samba/ 
这 个 目录 下 的 数据 ， 因 此 你 就 得 先 去 查阅 一 番 。 通 常 在 登录 文件 内 的 信息 ， 会 比 在 
屏幕 上 的 还 要 仔细 ， 那 你 就 可 以 自行 处 理 完 毕 了 ; 

o 将 讯息 带 入 Google 查询 ， 通 常 可 以 解决 登录 档 出 现 的 但 是 你 没有 办 法 克服 的 问题 
有 ! 达标 率 可 达 95% 以 上 吧 ! 

o 还 是 不 成 功 ， 那 就 到 各 大 讨论 区 去 发 问 吧 ! 建议 到 酷 学 园 (http://phorum.study- 
area.org) 最 常 出 现 的 其 实 是 SELinux 的 错误 啦 ! 此 时 就 得 要 使 用 SELinux 的 方法 来 
党 试 处 理 嘿 1 这 也 是 本 服务 器 篇 后 续 会 稍微 提 到 的 内 容 。 


经 过 上 面 的 流程 ， 你 就 可 以 知道 啦 ， 架 设 好 一 部 主机 需要 知道 : (1) 各 个 process 与 signal 的 
We 
; (4) 软 件 管理 员 的 学 习 ; (5)BASH 的 语法 与 shell scripts 的 语法 ， 还 有 那个 很 重要 的 vim 
哩 1 : (6) 开 机 的 流程 分 析 ， a ba 受 定 与 分 析 ; (7) 还 得 知道 类 似 quota 以 及 连 
结 档 等 等 的 概念 。 要 知道 的 丨 的 很 多 ， 而 且 还 是 不 能 省 略 的 步骤 喔 ! 


1.2.2-6 细部 权限 与 SELinux 


如 果 有 些 特殊 的 使 用 情况 时 ， 权 限 设 定 就 是 个 很 重要 的 因素 。 举 例 来 说 ， 我 们 系统 上 面 ， 现 
在 有 vbirduser{1,2,3,4,5} 以 及 student 等 账号 ， 而 共享 目录 为 /home/vbirdgroup。 现 在 ， 
vbirdgroup 的 群 组 想 要 让 student 这 个 用 户 可 以 进入 该 共享 目录 查阅 ， 但 是 不 能 够 更 改 他 们 
原本 的 数据 ， 你 该 如 何 进 行 呢 ? 你 或 许可 以 这 样 想 : 


。 让 student 加 入 vbirdgroup 群 组 即 可 : 但 如 此 一 来 ，student 具有 vbirdgroup 的 rwx 权 
限 ， 也 就 可 以 写 入 与 修改 嘿 ， 因 此 这 个 方案 行 不 通 。 


。 将 /home/vbirdgroup 的 权限 改 为 2775 即 可 : 如 此 一 来 student 拥有 其 他 人 的 权限 (rx)， 
但 如 此 一 来 其 他 所 有 任何 人 均 拥 有 rx 权限 ， 这 个 方案 也 行 不 通 


传统 的 身份 与 权限 概念 就 只 有 上 面 两 种 解决 方案 而 已 ， 这 下 子 严重 了 ! 我 们 没有 办 法 针对 
student 进行 权限 设 定 ! 此 时 就 得 要 使 用 ACL 鹃 ~ 同样 这 个 例子 ， 我 们 就 来 实 作 一 下 : 


例题 -单一 用 户 、 群 组 的 权限 设 定 ACL 想 要 让 student 可 以 进入 /homey/vbirdgroup 进行 查询 ， 
但 不 可 写 入 。 同 时 vbirduser5 在 /home/vbirdgroup 内 ， 不 具有 任何 权限 。 答 : 只 能 使 用 
ACL 哩 ! 由 于 安装 时 预 设 格 式 化 就 加 上 acl 的 文件 系统 功能 支持 ， 因 此 你 可 以 直接 处 理 如 下 
的 各 项 指令 。 如果 你 是 使 用 后 来 新 增 的 partition 或 filesystem ， 或 许 得 要 在 /etc/fstab 内 额 
外 增加 acl 控制 参数 才 行 嘿 ! 


[root@localhost ~]# useradd student 

[root@localhost ~]# passwd student 

[root@localhost ~]# setfacl -m u:student:rx /home/vbirdgroup 
[root@localhost ~]# setfacl -m u:vbirduser5:- /home/vbirdgroup 
[root@localhost ~]# getfacl /home/vbirdgroup 

# file: home/vbirdgroup 

# Owner: root 

# group: vbirdgroup 

# flags: -S- 

USer : :rwx 

user:vbirduser5:--- 

user:student:r-x &1t ;== 就 是 这 两 行 ， 额 外 的 权限 参数 哩 ! 

group: :rwx 

mask: :rwx 

other::--- 


[root@localhost ~]# 11 -d /home/vbirdgroup 
drwxrws---+ 2 root vbirdgroup 4096 2011-07-14 14:49 /home/vbirdgroup 


上 面 说 的 是 正确 的 权限 控制 行为 。 那 万 一 系统 管理 员 不 是 个 东西 ... 不 是 啦 ! 系统 管理 员 并 不 知 

道 权限 的 重要 性 时 ， 常 常会 因为 菜 些 特殊 需求 ， 就 将 整个 目录 设 定 为 777 的 情况 ! 举例 来 
说 ， 如 果 是 一 个 不 怎么 想 要 负责 的 网 管 人 员 ， 为 了 自己 方便 、 大 家 方便 ， 就 将 
TUR 受 定 为 777 ， 这 样 ee 嘛 ! 此 时 ， 如 果 你 a 
制 ， 嘿 嘿 | 这 个 群 组 成 员工 作 的 成 果 ， 通 通 可 以 被 大 家 所 窃取 ， 曝 是 要 命 


为 了 预防 这 种 心 不 在 看 的 管理 员 ， 于 是 就 有 了 SELinux 这 个 玩意 儿 。SELinux 主要 在 控制 

部 的 权限 ， 他 可 以 针对 某 些 程序 要 读 取 的 档案 来 设计 SELinux 类 别 ， 0 
态 可 以 相符 合 时 ， 该 档案 才能 够 开始 被 读 取 。 如 此 一 来 ， 当 你 配置 文件 案 权限 为 777 ， 但 是 
因为 程序 与 档案 的 SELinux 例 行 不 符 ， 所 以 没关系 的 ， 因 为 该 程序 还 是 读 不 到 该 档案 ! 所 以 
我 们 在 图 1.2-1 才 会 将 SELinux 的 图 示 绘 制 到 daemon 与 fle permission 中 间 啊 ! 


事实 上 SELinux 还 挺 复 杂 的 ， 但 是 我 们 如 果 仅 是 想 要 应 用 而 已 ， 那 么 SELinux 的 处 理 方式 通 
通 可 以 透 过 登录 档 来 处 置 ! 所 以 SELinux 出 现 问 题 的 机 会 非常 大 ， 但 是 解决 技巧 却 很 简单 ! 
就 是 透 过 登录 档 内 的 说 明 去 作 即 可 。 详细 的 作法 我 们 在 后 续 章节 再 持续 说 明 吧 ! 


1.2.3 系统 安全 与 备份 处 理 


老实 说 ， 在 鸟 哥 管理 服务 器 的 经 验 来 说 ， 硬 件 问题 要 比 操作 系统 与 软件 问题 还 来 的 严重 ， 而 
人 的 问题 又 比 硬件 问题 严重 1! 举例 来 说 ， 如果 你 的 老板 跟 你 说 : 『 我 要 的 账号 是 efric ， 而 且 
我 的 密码 也 要 是 eric ! 这 样 比 较 好 记 嘛 1 你 应 该 要 怎么 处 理 呢 ? pe 要 再 教育 ] ! 教 
育 谁 ? 教育 自己 啦 ! 是 要 忍耐 还 是 要 说 服 老板 别 这 样 一 好 讨厌 的 感觉 


因此 ， 在 系统 安全 方面 ， 首 要 的 工作 是 透 过 日 常生 活 的 社交 活动 中 ， 慢 慢 透 露 一 些 资 安 方面 
的 困扰 ， 并 提供 老板 一 些 制订 资 安 规则 i 息 ， 这 样 未 来 比较 好 鼓吹 资 安 条 件 的 制订 。 
我 们 就 先 由 严格 的 密码 来 建议 吧 : 


『 猜 密码 」 仍 是 一 个 不 可 忽视 的 入 侵 手 段 ! 例如 SSH 如 果 对 Internet 开放 的 话 ， 你 又 没有 将 
root 的 登入 权限 关闭 ， 那 么 对 方 将 可 能 以 root 尝试 登入 你 的 Linux 主机 ， 这 个 时 候 对 方 最 重 
要 的 步骤 就 是 猜 出 你 root 的 密码 了 | 如 果 你 root 的 密码 设 定 成 『1234567J 哈哈 ! 想 不 被 入 
侵 都 很 难 ~ 所 以 当然 需要 严格 的 规范 用 户 密码 的 设 定 了 ! 那么 如 何 规范 严格 的 密码 规则 呢 ? 
可 以 藉 由 (1) 修 改 /etc/login.defs 档案 里 面 的 规则 ， 以 让 用 户 需要 每 半年 更 改 一 次 密码 ， 且 密 
码 长 度 需 要 长 于 8 个 字符 呢 1 (2) 利 用 /etc/security/limits.conf 来 规范 每 个 使 用 者 的 相关 权限 ， 
让 你 的 Linux 可 以 较为 安全 一 点 点 ~(3) 利 用 pam 模块 来 额外 的 进行 密码 的 验证 工作 。 


另外 ， 虽 然 『 防 火 墙 无 用 论 ] 
他 存在 的 必要 。 因此 你 还 是 得 
上 面 提 到 的 SSH 服务 中 ， 你 可 


常常 被 提 及 ， 但 是 netfilter (Linux 的 核心 内 建 防火 墙 ) 其 实 仍 有 
时 就 要 你 自己 的 主机 环境 来 设计 专属 于 自己 的 防火 墙 规则 ， 例 如 
可 以 仅 针 对 某 个 局 域 网 络 或 某 个 特定 IP 开放 联机 功能 即 可 啊 | 


最 后 ， 备 份 是 不 可 忽略 的 一 环 。 本 节 开 头 就 讲 到 了 ， 乌 可 遇 过 常常 莫名 其 妙 自 动 重 开机 或 系 
统 不 稳 的 ， 经 常 都 不 是 被 攻击 ， 而 是 硬件 内 部 的 电子 零件 老化 所 造成 的 系统 不 稳定 ... 此 时 ， 
异地 备 援 啦 、 备 用 机 器 的 接管 理 等 等 的 ， 就 很 重要 哆 ! 而 你 总 不 想 要 因为 硬盘 挂 点 导致 数据 


『 定 害 去 〗 ， 所 以 嚼 ， 备 份 就 鼻 他 X 的 重要 鹃 | 


例题 : 系统 上 比较 重要 的 目录 有 /etc, /home, /root, /var/spool/mail 等 ， 你 现在 想 要 在 每 天 
2:45am 进行 备份 ， 且 备份 数据 存 到 /backup 内 ， 备 份 的 举动 使 用 tar ， 那 该 如 何 处 理 ? 答 : 
鸟 哥 通常 是 使 用 shell script 来 进行 备份 数据 的 汇 整 ， 范 例如 下 : 


[root@localhost ~]# mkdir /root/bin; vim /root/bin/backup.sh 
#!/bin/bash 

backdir="/etc /home /root /var/spool/mail" 

basedir=/backup 

[ ! -d "$basedir" ] && mkdir $basedir 
backfile=$basedir/backup.tar .gz 

tar -zcvf $backfile $backdir 


[root@localhost ~]# vim /etc/crontab 
45 2** * root sh /root/bin/backup.sh 


无 论 如 何 ， 以 现今 的 网 络 功能 及 维护 来 看 ， 架 设 一 个 『 功 能 性 强 」 的 主机 ， 还 不 如 架设 一 个 
『 稳 定 且 安全 的 主机 4 比较 好 一 点 ! 因此 ， 对 于 主机 的 安全 要 求 就 需要 严格 的 要 求 啦 ! 就 乌 
可 的 观点 来 看 ， 如 果 你 的 主机 是 用 来 蔡 你 赚钱 的 ， 例 如 茶 些 研究 单位 的 大 型 Cluster 运算 主 
机 ， 那 么 即使 架设 一 个 其 至 让 你 觉得 很 不 方便 的 防火 墙 系 统 ， 都 是 合理 的 手段 ! 因为 主机 被 
入 侵 就 壮 了 ， 若 数据 被 窃取 ， 呵 呵 ! 那 可 不 是 益 着 玩 的 |! 


由 上 面 的 整个 架 站 流程 来 看 ， 由 规划 到 安装 、 主 机 设 定 、 账 号 与 档案 权限 管理 、 后 续 安 全 性 
维护 与 管理 以 及 重要 的 备份 工作 等 等 ， 必需 要 每 个 环节 都 很 清楚 ， 才 能 够 设 定 出 一 个 较为 稳 
定 而 可 正常 工作 的 服务 器 。 而 上 面 的 每 一 个 工作 都 涉及 到 相当 多 的 Linux 基础 操作 与 相关 的 
概念 ， 所 以 说 ， 想 要 学 架 站 ， 昌 的 丨 的 不 能 省 咯 了 Linux 的 基础 学 习 ， 这 也 是 为 什么 我 们 一 
再 强调 Linux 新 手 不 要 一 头 栽 入 想 要 单纯 架设 服务 器 的 迷 思 当中 呐 ! 如 果 你 对 于 上 面谈 到 的 
几 个 基础 概念 不 是 很 清楚 的 话 ， 那 么 建议 你 由 底下 的 两 个 网 站 学 起 : 


e http://www.study-area.org 
e http://linux.vbird.org 


1.3 自我 评估 是 否 已 经 具有 架 站 的 能 力 


网 管 人 员 需 要 什么 能 力 呢 ? 我 想 ， 架 几 个 站 跟 作 一 个 称职 的 网 管 人 员 ， 相差 是 甚 远 的 ! 架 

站 ， 说 睦 的， 是 一 件 很 简单 的 事情 ， 看 着 书本 一 步 一 步 的 作 上 去 ， 一 定 可 以 成 功 的 ! 但 是 ， 

很 多 人 都 只 晓得 『 如 何 架 站 」 却 不 知 到 『 如 何 维护 一 个 网 站 的 安全 」 ! 基本 上 ， 维护 一 个 已 
经 架设 好 的 网 站 的 正常 运作 ， 昌 的 要 比 架设 一 个 网 站 难 的 多 了 ! 你 得 要 随时 知道 你 的 系统 状 
况 ， 随 时 注意 是 否 有 新 的 软件 漏洞 而 去 修补 他 ， 随 时 要 注意 各 种 服务 的 登录 档案 (logfile) 以 了 
解 系统 的 运作 情况 ! 得 知道 发 生 问题 的 时 候 ， 到 底 问 题 点 是 在 哪 一 个 ! 


比如 说 当 机 了 ， 那 么 你 知道 当 机 的 原因 吗 ? 即使 不 知道 ， 也 可 得 需要 约略 猜 得 出 来 才 行 。 

而 ， 如 果 安 全 出 了 问题 ， 被 入 侵 了 ， 除 了 format + 重 灌 之 外 ， 可 有 办 法 在 不 移 除 系统 的 情况 
下 修补 漏洞 ?这 些 都 是 网 管 人 员 需 要 学 习 的 ， 而 且 ， 通 常 都 是 需要 经 验 的 累积 才 会 知道 问题 
的 所 在 ! 此 外 ， 保 持 身心 的 活力 以 随时 注意 在 线 公布 的 安全 防备 信息 等 等 | 都 需要 具备 的 ! 


此 外 ， 最 严重 的 问题 是 ， 网管 人 员 其 实 最 需要 的 是 『 道 德 感 与 责任 感 ] ! 你 可 要 晓得 你 的 机 
器 上 所 有 人 的 隐私 都 在 你 的 监控 之 下 ， 如 果 你 本 身 就 已 经 有 偷 帘 欲 了 ， 可 知道 这 有 多 可 怕 
吗 ? 另 外， 如 果 没 有 责任 感 的 人 作为 一 个 网 管 ， 可 能 会 疯 掉 ， 因 为 不 论 何 时 何 地 ， 只 要 是 你 
监控 的 主机 出 了 问题 ， 嘿 嘿嘿 嘿 ， 你 一 定 是 第 一 个 被 想到 的 人 物 ， 所 以 ， 你 得 随时 随地 做 好 
可 能 随时 会 被 召唤 回 主机 跟前 的 心理 准备 ! 


更 可 笑 的 是 ， 如 果 你 服务 的 人 群 中 ， 有 几 个 连 开 机 的 时 候 软 盘 驱 动 器 塞 了 一 块 不 可 开机 的 软 
盘 ， 导 致 无 法 正常 开机 ， 也 都 会 跟 你 抱 奶 说 『 唉 哆 ! 你 经 手 的 计算 机 怎么 这 么 烂 ， 动 不 动 就 
不 能 开机 J 的 时 候 ， 你 得 要 有 容 人 的 雅 量 ， 说 说 冷笑 话 解 解 问 吧 ! 总 之 ， 网 管 人 员 并 不 是 只 
要 会 架 站 就 可 以 了 ， 『 道 德 感 ] 『 责 任 感 ] 还 有 『 耐 心 」 呵呵 |! 套 一 句 现在 人 喜欢 说 的 口头 
禅 『 这 是 一 定 要 的 啦 1 1 


网 管 人 员 是 什么 ? 好 久 以 前 看 到 了 报纸 的 一 篇 报导 ， 内 容 大 概 是 说 : 台湾 的 网 络 管理 人 员 对 
于 『 网 络 安全 性 防护 」 的 认 知 不 够 ， 或 许 是 防火 墙 机 制 建立 不 完整 ， 或 者 是 认为 黑客 不 会 入 
侵 小 型 网 站 ， 所 以 在 不 其 了解 的 情况 下 ， 被 所 谓 的 『 中 东 黑 客 组 织 」 所 入 侵 ， 然 后 以 台湾 被 
入 侵 的 计算 机 为 跳板 ， 去 攻击 宾 拉 登 的 仇敌 美国 ， 然 后 引起 美国 高 度 的 不 满 。 由 于 台湾 的 立 
场 有 点 得 罪 不 得 美国 ( 这 边 不 提 及 政治 因素 ， 反 正 目前 的 情况 是 这 样 。) ， 所 以 一 接 到 美国 来 
的 抗议 信 咏 就 很 环 手 。 这 只 是 一 个 事件 问题 ， 不 过 这 个 事件 问题 也 点 出 了 一 个 重点 ， 就 是 我 
们 的 网 络 信息 可 能 美的 是 变 发 达 的 ， 不 过 ， 管 理 网 络 的 人 员 可 能 在 认 知 的 程度 上 就 有 点 参差 
不 齐 了 ! 网 络 安全 是 变 重要 的 ， 只 是 ， 大 家 常常 会 忘记 他 ! 个 人 认为 ， 网 管 是 变 重 要 的 角 
色 ， 应 该 不 能 等 闲 视 之 才 对 。 


好 了 ， 如 果 你 了 解 了 上 面 乌 哥 所 想 要 表达 的 意念 之 后 ， 来 评估 看 看 你 是 否 适合 当 一 个 称职 的 
网 管 人 员 吧 | 


1 是否 具有 Linux 的 基础 概念 : 这 当然 包含 很 多 部 分 ， 例 如 账号 管理 、BASH、 权 限 的 概 
、Process 与 signal 的 概念 、 简 多 的 硬件 与 Linux 相关 性 (如 mount) 的 认识 、 登 录 档 


是 
案 的 解析 、daemon 的 认识 等 等 ， 都 需要 有 一 定 程 度 的 了 解 ; 


2， 是否 具 备 基础 网 络 知识 : 没有 网 络 知识 想 要 架 站 ， 那 是 天 方 夜 齐 ! 请 确认 你 已 经 熟悉 IP 
Netmask, route, DNS, daemon 与 port, TCP 封包 的 概念 等 基本 知识 ; 

3， 是 否 已 经 身心 活化 了 : 网 管 人 员 必 须要 随时 注意 网 站 的 相关 信息 ， 这 包括 网 站 软件 的 漏 
洞 修补 、 网络 上 公告 的 网 络 安 全 通报 等 等 ， 还 有 ， 得 要 每 日 分 析 主 机 的 登录 文件 ， 你 是 
否 已 经 具备 了 随时 注意 这 些 信息 的 『 耐 心 」 呢 ? 

4. 是否 具有 道德 感 与 责任 感 : 如 果 还 是 具有 一 点 点 的 偷 完 欲 ， 再 加 油 吧 !^ 人 和 人 和， 另外 ， 如 
果 老 板 想 要 请 你 『 偷 宽 」 时 ， 请 想 尽 任何 方法 ， 让 他 理解 这 么 做 是 多 么 的 可 笑 ~ 

当然 ， 一 再 强调 的 ， 架 设 一 个 Linux 服务 器 是 很 简单 的 ， 但 是 维护 的 工作 除了 身心 已 经 活 

化 ， 并 且 还 要 拥有 高 标准 的 道德 感 ， 否 则 .…. 倒 站 恐怕 是 可 以 预见 的 一 个 后 果 .…. 


1.4 本 草 习 题 


本 章 所 安装 的 samba 软件 未 来 还 会 使 用 到 ， 因 此 请 先 移 除 samba 软件 ， 并 将 本 章 例 题 
中 改写 的 /etc/crontab 内 容 取 消 ( 共 两 行 )。 透 过 yum remove samba 或 rpm -e samba 均 
可 ， 然 后 用 vim /etc/crontab 将 那 两 行 取 消 吧 ! 

如 果 我 有 一 颗 硬盘 在 A 主机 上 面 安 装 了 Linux 之 后 ， 拿 到 另 一 台 配备 相同 的 B 主机 上 面 
去 进行 开机 ， 结 果 竟然 无 法 顺利 开机 ， 你 认为 可 能 的 原因 是 什么 ? 不 能 开机 常常 是 因为 
找 不 到 根 目 录 的 位 置 ， 而 根 目 录 找 不 到 通常 就 是 磁盘 的 装置 文件 名 错误 所 致 。 目 前 由 于 
/etc/fstab 配合 filesystem 都 使 用 LABEL name ， 所 以 不 容易 发 生 这 样 的 情况 。 但 如 果 你 
曾经 自行 手动 处 理 过 /etc/fstab 的 话 ， 那 就 必须 要 注意 磁盘 的 装置 文件 名 了 | 透 过 修改 
/etc/fstab 以 及 /boot/grub/menu.lst 或 许 能 够 得 到 方法 解决 。 

一 般 来 说 ， 在 Linux 系统 上 ， 用 户 默 认 的 家 目录 在 那个 目录 下 了 另外， 新 增 一 个 使 用 者 
时 ， 该 用 户 软 认 的 家 目录 内 容 来 自 那 个 目录 下 ?在 /etc/default/useradd 这 个 档案 里 面 会 
规范 用 户 的 默认 家 目录 以 及 默认 家 目录 的 内 容 ， 一 般 来 说 ， 用户 默认 家 目录 在 /home ， 
至 于 家 目录 内 的 档案 则 复制 来 源 在 /etc/skel 里 面 。 

我 以 原始 码 的 方式 进行 一 个 软件 的 安装 ， 但 是 在 分 析 系 统 的 时 候 ， 分 析 程 序 一 直 告 诉 我 
找 不 到 cc 这 个 指令 ， 请 问 这 是 什么 问题 ?为 何 需 要 cc ? 又 ， 我 该 如 何 解决 这 个 问题 ， 
好 让 软件 可 以 顺利 的 被 安装 在 我 的 Linux 上 面 ? 因为 是 原始 码 ， 所 以 还 需要 编译 程序 来 
将 该 原始 码 编译 成 为 可 以 在 你 的 Linux 系统 上 面 跑 的 binary 档案 ， 在 Linux 上 头 默认 的 
编译 程序 就 是 gcc 这 个 编译 程序 (compiler)。 如 果 你 在 安装 Linux 的 时 候 ， 使 用 Linux 
Installer 默认 的 软件 选择 ， 那 通常 会 没有 安装 gcc 以 及 make 等 软件 ， 此 时 ， 请 使 用 
yum 去 处 理 软 件 的 安装 吧 ! 

我 发 现 我 的 Linux 系统 怪 怪 的 ， 似 乎 有 什么 不 知名 的 程序 在 内 存 当 中 跑 ， 我 该 如 何 将 这 
个 不 知名 的 程序 提出 来 ， 并 且 将 他 移 除 ? 如 果 要 提出 程序 (process) 的 话 ， 可 以 使 用 ps - 
aux 或 者 是 直接 输入 top 来 查询 process 的 ID (PID)， 找 到 PID 号 码 后 ， 再 以 kill -9 PID 
来 删除 该 程序 即 可 。 

我 总 是 无 法 编辑 某 个 档案 ， 你 认为 应 该 是 什么 问题 造成 的 ? 那 又 要 怎么 解决 ?无 法 编辑 
某 个 档案 ， 可 以 先 使 用 file 这 个 指令 来 查询 一 下 该 档案 的 格式 ， 例 如 想 察 看 /etc/shadow 
的 格式 ， 可 以 下 达 : [file /etc/shadowJ」， 如 果 是 文本 文件 ， 却 还 是 无 法 编辑 ， 那么 最 
可 能 发 生 的 原因 就 是 『 权 限 」 的 问题 了 。 可 以 使 用 ls -|filename 察看 档案 权限 ， 再 以 
chmod 或 chown 来 修订 该 档案 的 权限 。 此 外 ， 该 档案 也 可 能 含有 隐藏 属性 ， 可 以 使 用 
lsattr filename 查阅 ， 再 以 chattr 来 修订 隐藏 属性 。 

你 认为 一 个 称职 的 网 管 人 员 应 该 具备 什么 能 力 ? 能 力 需 求 相 当 高 ， 如 了 (1) 操 作 系 统 的 基 
础 知识 (不 论 是 Linux/Unix/MAC/MS) ; (2) 网 络 基础 的 知识 ; (3) 个 别 Internet Services 的 
运作 知识 之 外 ， 还 需要 (4) 身 心 保 持 在 备战 状态 ， 以 及 (5) 具 有 相当 高 程度 的 道德 感 、 责 任 
我 要 关 掉 cron 这 个 服务 ， 应 该 怎么 关 掉 他 ? 如 果 正 常 的 方法 无 法 关闭 这 个 服务 ， 可 以 使 
用 什么 方法 来 关闭 ? 因为 cron 是 一 个 stand alone 的 服务 ， 所 以 可 以 使 用 
/etc/rc.d/init.d/cron stop 来 关闭 ; 如 果 还 是 无 法 正常 关闭 ， 可 以 使 用 ps -aux | grep cron 


提出 该 程序 的 PID ， 然 后 以 kill -9 PID 来 关闭 。 

e 如 果 一 开机 就 要 执行 某 个 程序 ， 应 该 要 将 该 程序 写 入 那个 档案 里 面 ? 可 以 直接 在 
/etc/rc.d/rc[run-level].d 里 面 加 入 S 开头 的 档案 ， 不 过 ， 更 简单 的 作法 是 直接 将 该 程序 写 
入 /etc/rc.d/rc.local ， 不 过 ， 请 注意 该 程序 必须 要 具有 可 执行 的 权限 ， 且 rc.local 也 必须 
要 是 可 执行 喔 ! 


2003/07/30 : 第 一 次 完成 日 期 ! 2003/08/19 : 加 入 了 课 后 练习 ， 如 果 你 无 法 回答 上 面 的 问 
题 .…. 不 要 怀疑 ， 赶 紧 回 去 参考 Linux 基础 篇 ! 2003/09/06 : 加 入 课 后 练习 的 参考 用 解答 
2006/02/07 : 将 原本 的 盏 文 移 到 此 处 2006/06/06 : 将 SATA 接口 的 硬盘 代号 再 次 做 个 修订 ! 
目前 SATA 的 格式 有 分 两 种 呢 ! 2007/01/02 : 将 一 些 排版 重 整 ， 将 一 些 日 期 方面 的 数据 重 
整 ， 将 课 后 练习 补 上 来 2010/05/07 : 将 CentOS 4.x 为 底 的 昌文 章 移动 到 此 处 2010/07/22 : 
重新 设计 服务 器 安装 流程 ， 并 且 在 每 个 基础 数据 都 加 上 练习 | 尤其 是 全 新 安装 一 部 server 以 
供 使 用 ! 2011/07/14 : 将 原本 基于 CentOS 5.x 为 底 的 上 虽 文 章 移动 到 此 处 2011/07/14 : 将 安 
装 与 设 定 的 数据 通通 改 为 CentOS 6.x 的 版 本 喝 ! 更 新 丨 困扰 ~~@_@ 


息 可“ 和 | '， wz 了 冯 . 花 了 旧 入 驰 加 记 和 锥 和 筷 二 HE 
= = HY Linux 从 方 森 :人 / 慌 丰 恩 森 以 仙 锌 一 /人 
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最 近 更 新 日 期 : 2011/07/15 


你 的 服务 器 是 放 在 网 络 网 络 上 面 来 提供 服务 的 ， 所 以 ， 如 果 没 有 网 络 或 者 是 网 络 不 通 ， 那 么 
你 的 服务 器 当然 是 英雄 无 用 武之 地 啦 | 此 外 ， 服 务 器 上 面 的 网 络 服务 都 是 用 来 达成 某 项 因 特 
网 的 通讯 协议 ， 以 提供 相对 应 的 服务 而 已 。 所 以 嘿 ， 你 当然 得 要 知道 这 个 最 基础 的 网 络 概 
念 ， 否 则 ， 当 服务 器 的 服务 出 现 问题 时 ， 4 We 这 部 份 最 重要 的 是 
TCPI/IP 与 OSI 七 层 协议 的 相关 概念 了 ， 这 部 份 难 的 很 一 难 的 很 ~ 在 这 一 章 中 ， 乌 哥 以 较为 
口语 的 方式 来 介绍 这 些 基础 网 络 架 构 ， ee 能 带 给 朋友 们 快速 了 解 网 络 是 哈 。 当然 ， 想 要 更 
了 解 网 络 相关 功 能 的 话 ， 文 末 的 参考 资料 可 以 参考 看 看 喔 ! ^ 人 ^ 


e 2.1 网 络 是 个 什么 玩意 儿 
o 2.1.1 什么 是 网 络 
o 2.1.2 计算 机 网 络 组 成 组 件 
o 2.1.3 计算 机 网 络 区 域 范围 
o 2.1.4 计算 机 网 络 协议 : OSI 七 层 协 定 
o 2.1.5 计算 机 网 络 协议 : TCP/IP 
e 2.2 TCP/IP 的 链 结 层 相 关 协 议 
o 2.2.1 广域网 使 用 的 设备 
0 2.2.2 局 域 网 络 使 用 的 设备 -以 太 网 络 , 速度 与 标准 , RJ45 接 头 ( 跳 线 /并 行 线 ) 
o 2.2.3 以 大 网 络 的 传输 协议 : CSMA/CD 
o 2.2.4 MAC 的 封装 格式 
o 2.2.5 MTU 最 大 传输 单位 
o 2.2.6 集线器 、 交 换 器 与 相关 机 制 
e 2.3 TCP/IP 的 网 络 层 相关 封包 与 数据 
o 2.3.11IP 封包 的 封装 
o 2.3.2 IP 地 址 的 组 成 与 分 级 : 网 域 , IP 与 门牌 关连 , 分 级 (Class A, B, C) 
o 2.3.3 IP 的 种 类 与 取得 方式 : loopback, IP 的 取得 方式 
o 2.3.4 Netmask, 子 网 与 CIDR (Classless Interdomain Routing) 
o 2.3.5 路 由 概念 
o 2.3.6 pdt : route 
o 2.3.7IP 与 MAC : 层 的 ARP 与 RARP 协定 : arp 
o 2.3.8 ICMP 协定 
e。 2.4 TCP/IP 的 传输 层 相 关 封 包 与 数据 
o 2.4.1 可 靠 联机 的 TCP 协议 : 通讯 端口 , 特权 起 口 (Privileged Ports), Socket Pair 
o 2.4.2 TCP 的 三 向 交 握 
o 2.4.3 非 连 接 导向 的 UDP 协议 
o 2.4.4 网 络 防火 墙 与 OSI 七 层 协 议 


岛 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


e。 2.5 连 上 Internet 前 的 准备 事项 
o 2.5.1 用 IP 上 网 ?主机 名 上 网 ?DNS 系统? 
o 2.5.2 一 组 可 以 连 上 Internet 的 必要 网 络 参数 
e 2.6 重点 回顾 
。 2.7 本 章 习 题 
。 2.8 参考 数据 与 延伸 阅读 
e 2.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=25884 
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2.1 网 络 是 个 什么 玩意 儿 


全 世界 的 人 种 有 很 多 ， 人 类 使 用 的 语言 种 类 也 多 的 很 。 那 如 果 你 想 要 跟 外 国人 沟通 时 ， 除 了 
比 手 划 脚 之 外 ， 你 要 如 何 跟 对 方 讲话 ?大 概 只 有 两 种 方式 哩 ， 一 种 是 强迫 他 学 中 文 ， 一 种 则 
是 我 们 学 他 的 语言 ， 这 样 才能 沟通 啊 。 在 目前 世界 上 的 强势 语言 还 是 属于 英语 系 国家 ， 所 以 
史 ， 不 管 是 啥 人 种 ， 只 要 学 好 英文 ， 那 么 大 家 都 讲 英文 ， 彼 此 就 能 够 沟通 了 。 和 希望 不 久 的 未 
来 ， 咱 们 的 中 文 能 够 成 为 强势 语言 啊 ! 


这 个 观念 延伸 到 网 络 上 面 也 是 行 的 通 的 ， 全 世界 的 操作 系统 多 的 很 ， 不 是 只 有 
Windows/Linux 而 已 ， 还 有 苹果 计算 机 自己 的 操作 系统 ，Unix like 的 操作 系统 也 非常 多 ! 那 
么 多 的 操作 系统 (人 种 ) 要 如 何 进 行 网 络 沟通 (语言 ) 呢 ? 那 就 得 要 制订 共同 遵守 的 标准 才 行 
了 。 这 个 标准 是 由 国际 组 织 规范 的 ， 你 的 系统 里 面 只 要 提供 可 以 加 入 该 标准 的 程序 代码 ， 那 
你 就 能 够 透 过 这 个 标准 与 其 他 系统 进行 沟通 | 所 以 喝 ， 网 络 是 跨 平台 的 ， 并 不 是 只 有 Linux 
才 这 么 做 ! 因此 ， 这 部 份 的 资料 你 学 完 后 ， 是 可 以 应 用 在 所 以 操作 系统 上 面 的 ! 观念 都 相同 
啊 | 


另外 ， 这 一 个 章节 由 在 引导 网 络 新 鲜 人 快速 进入 网 络 的 世界 ， 所 以 鸟 哥 写 的 比较 浅显 一 些 
些 ， 基 本 上 ， 还 有 一 堆 网 络 硬件 与 通讯 协议 并 没有 被 包含 在 这 篇 短文 里 头 。 如 果 你 的 求知 欲 
已 经 高 过 本 章节 ， 那么 请 自行 到 书局 寻找 适合 你 自己 的 书籍 来 阅读 1 当然 ， 你 也 可 以 在 因 特 
网 上 面 找到 你 所 需要 的 数据 。 在 本 章 最 后 的 参考 数据 可 以 瞧 一 瞧 呐 ! 


2.1.1 什么 是 网 络 


我 们 都 知道 ， 网 络 就 是 几 部 计算 机 主机 或 者 是 网 络 打印 机 之 类 的 接口 设备 ， 透 过 网 络 线 或 者 
是 无 线 网 络 的 技术 ， 将 这 些 主机 与 设备 连接 起 来 ， 使 得 数据 可 以 透 过 网 络 媒体 (网 络 线 以 及 其 
他 网 络 卡 等 硬件 ) 来 传输 的 一 种 方式 。 请 你 想象 一 下 ， 如 果 你 家 里 面 只 有 计算 机 、 打 印 机 、 传 
里 机 等 机 器 ， 却 没有 网 络 连 接 这 些 硬件 ， 那 么 使 用 上 会 不 会 很 麻烦 ? 如 果 将 这 个 场景 移 到 需 
要 工作 的 办 公 室 时 ， 计 算 机 的 数据 无 法 使 用 网 络 连 接 到 打印 机 来 打印 ， 那 是 否 很 伤 脑筋 呢 ? 
对 吧 ! 光 用 想 的 就 觉得 很 麻烦 吧 ! 不 幸 的 是 ， 这 些 麻烦 事 在 1970 年 代 以 前 ， 确 实 是 存在 的 
啊 | 


e 各 自 为 政 的 『 网 络 硬件 与 软件 」 技 术 发 展 : Ethernet & Token-Ring 


在 1970 年 代 前 后 ， 为 了 解决 这 个 烦人 的 数据 传输 问题 ， 各 主要 信息 相关 的 公司 都 在 研究 
各 自 的 网 络 连 接 技 术 ， 以 使 自家 的 产品 可 以 在 办 公 室 的 环境 底下 组 织 起 来 。 其 中 比较 有 

名 的 就 是 全 录 公 司 的 Ethernet 技术 ， 以 及 IBM 研发 的 Token-Ring 技术 了 。 但 是 这 些 技 
术 有 个 很 大 的 问题 ， 那 就 是 它们 彼此 不 认识 对 方 的 网 络 技术 ! 也 就 是 说 ， 万 一 你 的 办 公 

室 购买 了 整合 Ethernet 技术 的 计算 机 主机 ， 但 是 其 他 的 计算 机 却 是 使 用 IBM 的 机 器 时 ， 

想 要 在 这 两 者 之 间 进 行 数据 的 沟通 ， 在 早期 来 说 那 是 不 可 能 的 。 


以 『 软 件 」 技术 将 硬件 整合 : ARPANET & TCP/IP 


为 了 解决 上 述 的 网 络 硬件 整合 功能 ， 所 以 在 1960 年 代 末 期 美国 国防 部 就 开始 研究 一 个 可 
以 在 这 些 不 同 的 网 di 的 软件 技术 ， 使 得 不 同 公 司 的 计算 机 或 数据 可 以 透 过 

这 个 软件 来 达成 数据 沟通 。 这 个 研究 由 美国 国防 部 尖端 研究 企画 署 (Defense Advanced 
Research Project Agency DARPA) 负责 ， 他 们 将 该 网 络 系 统称 为 ARPANET ， 这 个 吹 
吹 就 是 目前 熟知 的 TCP/IP 技术 的 锥 形 了 | 在 1975 年 左右 ，ARPANET 已 可 以 在 常见 的 
Ethernet 与 Token-Ring 等 硬件 平台 底下 互通 数据 了 。DARPA 在 1980 年 正式 推出 
TCP/IP 技术 后 ， 由 于 想 要 推展 此 项 技术 ， 因 此 与 柏 克 莱 (Berkeley) 大 学 合作 ， 将 
TCP/IP 植 入 著名 的 BSD Unix 系统 内 ， se 养 处 ， 所 以 ， 
TCPI/IP 这 项 技术 便 吸 引 越 来 越 多 使 用 者 的 投入 ， 而 这 种 连接 网 络 的 技术 也 被 称 之 为 
Internet ( 注 1)。 


没有 任何 王 法 的 因特网 : Internet 


现在 我 们 知道 Internet 就 是 使 用 TCP/IP 的 网 络 连接 技术 所 串联 起 来 的 一 个 网 络 世界 ， 
而 这 个 Internet 在 1980 年 代 之 后 由 于 对 email 的 需求 以 及 浏览 器 图 形 接口 的 兴起 ， 因 此 
快速 的 蔓延 在 计算 机 世界 中 。 但 是 ，|nternet 有 没有 人 在 管理 邮 ? 很 不 巧 的 是 ，|nternet 
是 一 个 管理 相当 松散 的 所 在 。 只 要 你 能 够 使 用 任何 支持 TCP/IP 技术 的 硬件 与 操作 系 

统 ， 并 且 实 际 连接 上 网 络 后 ， 你 就 进入 Internet 的 世界 了 。 在 该 世界 当中 ， 没 有 任何 王 
法 的 保护 ， 你 的 实际 数据 如 果 接 上 Internet ， 在 任何 时 刻 都 需要 自己 保护 自己 ， 免 得 中 
了 工 流 弹 4 而 受伤 啊 ! 


为 甚么 说 Internet 没有 王 法 呢 ? 这 是 因为 Internet 仅 是 提供 一 个 网 络 的 连接 接口 ， 所 以 
你 只 要 连接 上 Internet 后 ， 全 世界 都 可 以 任 你 邀 游 ， 不 过 也 因为 如 此 ，『 跨 海 」 而 来 的 
攻击 就 成 了 简单 的 事件 ， 简 单 说 ， 人 台湾 的 法 律 仅 适用 台湾 地 区 对 吧 ? 但 是 计算 机 怪 客 
(cracker) 可 以 在 国外 透 过 Internet 对 你 的 主机 进行 攻击 ， 我 们 的 0 国外 地 区 
啊 | 虽然 可 以 延 过 很 多 国际 管道 来 寻求 协助 ， 不过， 还 是 很 难 协 助 你 绢 拿 凶 手 的 啊 。 轩 
此 嘿 ， 在 你 的 主机 要 连 上 Internet 之 前 ， 请 先 询问 自己 ， 申 的 有 需要 连 SE Internet 吗 ? 


人 人 


软 硬 件 标准 制定 的 成 功 带 来 的 影响 : IEEE 标准 规范 


现在 我 们 常常 听 到 『 你 要 上 网 啊 ! 那 你 要 去 买 网 络 卡 喔 ! 还 得 要 连接 到 Internet 才 行 
啊 1」 这 个 网 络 卡 就 是 市 面 上 随处 可 见 的 一 个 适 es ， 至 于 Internet 则 是 去 向 
Hinet/Seed net 或 其 他 网 络 服务 提供 公司 (Internet Service Provider, ISP) 申请 的 账号 密 
码 。 问题 是 ， 是 否 就 只 有 透 过 网 络 卡 与 Internet 才能 上 网 啊 ? 呵呵! 当然 不 是 ! 其 他 不 
同 的 网 络 硬件 本 ! 不 过 ， 最 成 功 的 却 是 以 大 网 络 (Ethernet) 与 Internet ， 
这 是 为 甚么 呢 ? 这 两 者 的 技术 比较 好 吗 ? 当然 不 是 ! 这 是 因为 这 两 者 都 被 『 标 准 〗 所 支 
持 的 缘故 ( 注 2) 。 


以 太 网 络 最 初 是 由 全 录 公 司 (Xerox PARC) 所 建构 出 来 的 ， 而 后 透 过 DEC, Intel 与 Xerox 
合作 将 以 太 网 络 标准 化 。 再 经 由 1EEE (Institute of Electrical and Electronic Engineers 
注 3) 这 个 国际 著名 的 专业 组 织 利 用 一 个 802 的 项 目 制定 出 标准 ， 之 后 有 19 家 公司 宣布 


支持 IEEE 所 发 布 的 802.3 标准 ， 并 且 到 了 1989 年 国际 标准 化 组 织 ISO (International 
Organization for Standard) 将 以 大 网 络 编 入 1S88023 标准 ， 呵 呵 ! 这 表示 以 太 网 络 已 经 
是 一 项 公认 的 标准 接口 了 ， 如 此 一 来 ， 大 家 都 可 以 依据 这 个 标准 来 设 定 与 开发 自己 的 硬 
件 ， 只 要 硬件 符合 这 个 标准 ， 理 论 上 ， 他 就 能 够 加 入 以 太 网 络 的 世界 ， 所 以 ， 购 买 以 太 
网 络 时 ， 仅 需要 查看 这 个 以 太 网 络 卡 支持 哪些 标准 就 能 够 知道 这 个 硬件 的 功能 有 哪些 ， 
而 不 必 知 道 这 个 以 太 网 络 卡 是 由 哪 家 公司 所 制造 的 呐 。 


Tips: 标准 站 的 是 个 很 重要 的 东西 ， 真 要 感谢 这 些 维护 标准 的 专业 组 织 。 当 有 公司 想 要 开 
发 新 的 硬件 时 ， 它 可 以 参考 标准 组 织 所 发 布 与 维护 的 文件 资料 ， 透 过 这 些 文件 数据 后 ， 
该 公司 就 知道 要 制作 的 硬件 需要 符合 哪些 标准 ， 同时 也 知道 如 何 设计 这 些 硬件 ， 让 它 可 
以 『 兼 容 」 于 目前 的 机 器 ， 让 使 用 者 不 会 无 所 适 从 啊 。 包括 软件 也 有 标准 ， 早 期 Linux 
在 开发 时 就 是 透 过 了 解 POSIX 这 个 标准 来 设计 核心 的 ， 也 使 得 Linux 上 面 可 以 执行 大 多 
数 的 标准 接口 软件 呢 ! 你 说 ， 标 准 是 否 真 的 很 重要 啊 ! 





2.1.2 计算 机 网 络 组 成 组 件 


接 下 来 ， 让 我 们 来 谈 谈 那 么 组 成 计算 机 网 络 的 组 件 有 哪些 呢 ? 这 些 组 件 的 定义 为 何 啊 ? 我 们 
得 要 先知 道 有 哪些 硬件 嘛 1 接 下 来 才 好 理解 啊 。 在 这 里 ， 我 们 以 底下 这 张 联机 示意 图 来 解释 
好 了 : 






aDSL 调 制 解 调 器 


图 2.1-1、 计 算 机 网 络 联 


在 上 图 中 ， 我 们 主要 需要 注意 到 的 硬件 有 哪些 呢 ? 大 致 有 底下 这 些 啦 : 


e 节点 (node) : 节点 主要 是 具有 网 络 地 址 (IP) 的 设备 之 称 ， 因 此 上 面 图 示 中 的 一 般 PC、 
Linux 服 务 器 、ADSL 调 制 解 调 器 与 网 络 打印 机 等 ， 个 别 都 可 以 称 为 一 个 node ! 那 中 间 
那个 集线器 (hub) 是 不 是 节点 呢 ? 因为 他 不 具有 IP ， 因 此 hub 不 是 节点 。 


e 服务 器 主机 (server) : 就 网 络 联机 的 方向 来 说 ， 提供 数据 以 『 响 应 」 给 用 户 的 主机 ， 都 
可 以 被 称 为 是 一 部 服务 器 。 举 例 来 说 ，Yahoo 是 个 WWW 服务 器 ， 昆 山 的 FTP 
(http://ftp.ksu.edu.tw/) 是 个 文件 服务 器 等 等 。 


e。 工作 站 (workstation) 或 客户 端 (client) : 任何 可 以 在 计算 机 网 络 输入 的 设备 都 可 以 是 工作 
站 ， 若 以 联机 发 起 的 方向 来 说 ， 主 动 发 起 联机 去 『 要 求 数据 的 ， 就 可 以 称 为 是 客户 端 
(client)。 举 例 来 说 ， 一 般 PC 打开 浏览 器 对 Yahoo 要 求 新 闻 数 据 ， 那 一 般 PC 就 是 客户 
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。 网 络 卡 (Network Interface Card, NIC) : 内 建 或 者 是 外 插 在 主机 上 面 的 一 个 设备 ， 主要 提 
供 网 络 联机 的 卡片 ， 目 前 大 都 使 用 具有 RJ-45 接头 的 以 太 网 络 卡 。 一 般 node 上 都 具有 
一 个 以 上 的 网 络 卡 ， 以 达成 网 络 联机 的 功能 。 


。 网 络 接口 : 利用 软件 设计 出 来 的 网 络 接口 ， 主 要 在 提供 网 络 地 址 (IP) 的 任务 。 一 张 网 卡 
至 少 可 以 搭配 一 个 以 上 的 网 络 接口 ; 而 每 部 主机 内 部 其 实 也 都 拥有 一 个 内 部 的 网 络 接 
口 ， 那 就 是 loopback (lo) 这 个 循环 测试 接口 ! 


。 网 络 形态 或 拓 朴 (topology) : 各 个 节点 在 网 络 上 面 的 链接 方式 ， 一 般 讲 的 是 物理 连接 方 
式 。 举例 来 说 ， 上 图 中 显示 的 是 一 种 被 称 为 星 形 联机 (star) 的 方式 ， 主 要 是 透 过 一 个 中 
间 连 接 设备 ， 以 放射 状 的 方式 连接 各 个 节点 的 一 种 形态 ， 这 就 是 一 种 拓 朴 。 


。 网 关 (route) 或 通讯 闸 (gateway) : 具有 两 个 以 上 的 网 络 接口 ， 可 以 连接 两 个 以 上 不 同 的 
网 段 的 设备 ， 例 如 IP 分 享 器 就 是 一 个 常见 的 网 关 设 备 。 那 上 面 的 ADSL 调制 解 调 器 算 不 
算 网 关 呢 ? 其 实 不 太 能 算 ， 因 为 调制 解 调 器 通常 视 为 一 个 在 主机 内 的 网 卡 设 备 ， 我 们 可 
以 在 一 般 PC 上 面 透 过 拨号 软件 ， 将 调制 解 调 器 仿 扶 成 为 一 张 实 体 网 卡 (ppp) ， 因 此 他 
不 太 能 算是 网 关 设备 啦 ! 


网 络 设备 其 实 非常 多 也 非常 复杂 ， 不 过 如 果 以 小 型 企业 角度 来 看 ， 我 们 能 够 了 解 上 述 图 示 内 
各 设备 的 角色 ， 那 应 该 也 足够 嘿 ! 接 下 来 ， 让 我 们 继续 来 讨论 一 下 网 络 范围 的 大 小 吧 ! 


2.1.3 计算 机 网 络 区 域 范围 


由 于 各 个 节点 的 距离 不 同 ， 联 机 的 线材 与 方式 也 有 所 差异 ， 由 于 线材 的 差异 也 导致 网 络 速度 
的 不 同 ， 让 网 络 的 应 用 方向 也 不 一 样 。 根 据 这 些 差异 ， 早 期 我 们 习惯 将 网 络 的 大 小 范围 定义 
如 下 : ( 注 6) 


。 局 域 网 络 (Local Area Network, LAN) : 节点 之 间 的 传输 距离 较 近 ， 例 如 一 栋 大 楼 内 ， 或 
一 个 学 校 的 校区 内 。 可 以 使 用 较为 昂贵 的 联机 材料 ， 例 如 光纤 或 是 高 质量 网 络 线 (CAT 
6) 等 。 网 络 速 度 较 快 ， 联 机 质量 较 佳 且 可 靠 ， 因 此 可 应 用 于 科学 运算 的 从 集 式 系统 、 分 
布 式 系统 、 云 端 负荷 分 担 系统 等 。 


广域网 (Wide Area Network, WAN) : 传输 距离 较 远 ， 例 如 城市 与 城市 之 间 的 距离 ， 因 此 
使 用 的 联机 媒体 需要 较为 便宜 的 设备 ， 例 如 经 常 使 用 的 电话 线 就 是 一 例 。 由 于 线材 质量 
较 差 ， 因 此 网 络 速 度 较 慢 且 可 靠 性 较 低 一 些 ， 网 络 应 用 方面 大 多 为 类 似 email, FTP， 
WWW 浏览 等 功能 。 


余 了 这 两 个 之 外 ， 还 有 所 谓 的 都 会 网 络 (Metropolitan Area Network, MAN)， 不 过 近来 比较 少 
， 因 此 你 只 要 知道 有 LAN 及 WAN 即 可 。 这 两 个 名 词 在 很 多 地 方 你 都 可 以 看 的 到 喔 ! 改 
天 你 回 家 看 看 你 家 的 ADSL 调制 解 调 器 或 IP 分 享 器 后 面 的 插 孔 看 看 ， 你 就 能 够 看 到 有 WAN 
与 LAN 的 插 孔 ， 现 在 你 就 知道 为 啥 有 这 两 个 灯 号 与 插 孔 了 吧 。 


一 般 来 说 ，LAN 指 的 是 区 域 范围 较 小 的 环境 ， 例 如 一 栋 大 楼 或 一 间 学 校 ， 所 以 在 我 们 生活 周 
遭 有 着 许 许 多 多 的 LAN 存在 。 那 这 些 LAN 彼此 串 接 在 一 起 ， 全 部 的 LAN 串 在 一 块 就 是 一 个 
大 型 的 WAN 哆 1! 简单 的 说 ， 就 是 这 样 分 。 


不 过 ， 现 在 的 环境 跟 以 前 不 一 样 了 ， 举 例 来 说 ， 前 几 天 刚刚 宣布 (2011/07)， 光 纤 的 速度 已 经 
可 以 到 达 100Mbps/10Mbps 的 下 载 / 上 传 带宽 了 ! 再 举例 来 说 ， 台 湾 的 学 术 网 络 通通 是 串 在 一 
块 的 ， 鸟 哥 在 台南 昆山 联机 到 na CentOS 映像 档 时 ， 你 猜 下 载 的 速度 有 多 
快 ? 每 秒 钟 可 高 达 100Mbps 左右 ! 这 已 经 是 一 个 内 部 区 网 的 速度 了 ! 所 以 ， 用 以 前 的 观点 来 
看 ， 其 实 对 目前 的 网 络 环境 有 点 不 符 现象 了 。 因 此 ， 目 前 你 可 以 使 用 『 速 度 」 作 为 一 个 网 络 
区 域 范围 的 评 量 。 或 许 现在 我 们 可 以 说 ， 整 个 台湾 的 学 术 网 络 (TANET, 注 7) 可 以 视 为 是 一 个 
局 域 网 络 呢 ! 


2.1.4 计算 机 网 络 协议 : OSI 七 层 协 定 


谈 完 了 网 络 需 要 制订 的 标准 、 网 络 联机 的 组 件 以 及 网 络 的 范围 之 后 ， 接 下 来 就 是 要 讲 到 ， 

么 各 个 节点 之 间 是 如 何 沟通 讯息 的 呢 ? 其 实 就 是 透 过 标准 的 通讯 协议 啦 ! 但 是 ， ee 
接 的 过 程 相 当 复 杂 ， 包 括 硬件 、 软 件数 据 封 包 与 应 用 程序 的 互相 链接 等 等 ， 如 果 想 要 写 一 支 
将 联网 全 部 功能 都 串 连 在 一 块 的 程序 ， 那 么 当 某 个 小 环节 出 现 问 题 时 ， 整 只 程序 都 需要 改写 
啊 | 鼻 麻 烦 ! 


那 怎 办 ? 没关系 ， 我 们 可 以 将 整个 网 络 连接 过 程 分 成 数 个 阶层 (layer)， 每 个 阶层 都 有 特别 的 

独立 的 功能 ， 而 且 每 个 阶层 的 程序 代码 可 以 独立 撰写 ， 因 为 每 个 阶层 之 间 的 功能 并 不 会 互相 

干扰 的 。 如 此 一 来 ， 当 某 个 小 环节 出 现 问题 时 ， 只 要 将 该 层级 的 程序 代码 重新 撰写 即 可 。 所 
以 程序 撰写 也 容易 ， pe 晰 ! 那 就 是 目前 你 常 听 到 的 OSI 七 层 协定 (Open 
System Interconnection) 的 概念 嘿 ! 


如 果 以 图 示 来 说 ， 那 么 这 七 个 阶层 的 相关 性 有 点 像 底下 这 样 : 





只 认识 对 方 相同 阶层 
Ee 





图 2.1-2、OSI 七 层 协 议 各 阶层 的 相关 性 


依据 定义 来 说 ， 越 接近 硬件 的 阶层 为 底层 (layer 1)， 越 接近 应 用 程序 的 则 是 高 层 (layer 7)。 
不 论 是 接收 端 还 是 发 送 端 ， 每 个 一 阶层 只 认识 对 方 的 同一 阶层 数据 。 而 整个 传送 的 过 程 就 好 
像 人 们 在 玩 整 人 游戏 一 般 ， 我 们 透 过 应 用 程序 将 数据 放 入 第 七 层 的 包 襄 ， 再 将 第 七 层 的 包 训 
放 到 第 六 层 的 包 衰 内 ， 依 序 一 直 放 到 第 一 层 的 最 大 的 包 衰 内 ， 然 后 传送 出 去 给 接收 端 。 接 收 
端的 主机 就 得 由 第 一 个 包 庄 开始 ， 依 序 将 每 个 包 庄 拆 开 ， 然 后 一 个 一 个 交 给 对 应 负责 的 阶层 
来 视察 ! 这 就 是 整 人 游戏 ... 喔 ! 是 OSI 七 层 协 议 在 阶层 定义 方面 需要 注意 的 特色 。 


既然 说 是 包 襄 ， 那 我 们 都 知道 ， 包 衰 表面 都 会 有 个 重要 的 信息 ， 这 些 信息 包括 有 来 自 哪里 、 

要 去 哪里 、 接 收 者 是 谁 等 等 ， 而 包 庄 里 面 才 是 丨 正 的 数据 。 同 样 的 ， 在 七 层 协议 中 ， 每 层 都 
会 有 自己 独特 的 表 头 数据 (header)， 告 知 对 方 这 里 面 的 信息 是 什么 ， 而 昊 正 的 数据 就 附 在 后 
头 嚼 ! 我 们 可 以 使 用 如 下 的 图 示 来 表示 这 七 层 每 一 层 的 名 字 ， 以 及 数据 是 如 何 放置 到 每 一 层 
的 包 训 内: 
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位 数据 图 2.1-3、OSI 七 层 协 议 数 


据 的 传递 方式 


上 图 中 仔细 看 每 个 数据 报 的 部 分 ， 上 层 的 包 计 是 放 入 下 层 的 数据 中 ， 而 数据 前 面 则 是 这 个 数 
据 的 表 头 。 其 中 比较 特殊 的 是 第 二 层 ， 因 为 第 二 层 (数据 链 WO 
(packet) 以 及 硬件 讯 框 (frame) 中 间 的 一 个 阶层 ， 他 必须 要 将 软件 包装 的 包 衰 放 入 到 硬件 能 
够 处 理 的 包 训 中 ， 因 此 这 个 阶层 又 分 为 两 个 子 层 在 处 理 相 对 应 的 数据 。 因为 比较 特殊 ， 所 以 
您 瞧 瞧 ， 第 二 层 的 数据 格式 比较 不 一 样 喔 ， 尾 端 还 出 现 一 个 检查 码 哩 一 


每 一 个 阶层 所 负责 的 任务 是 什么 呢 ? 简单 的 说 ， 每 一 层 负责 的 任务 如 下 : ( 注 6, 注 8, 注 9) 
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由 于 网 络 媒体 只 能 传送 0 与 1 这 种 位 串 ， 因 此 物理 层 必 须 定 义 所 使 用 的 
媒体 设备 之 电压 与 讯号 等 ， 同时 还 必须 了 解数 据 讯 框 转 成 位 串 的 编码 方 
式 ， 最 后 连接 实体 媒体 并 传送 /接收 位 串 。 


这 一 层 是 比较 特殊 的 一 个 阶层 ， 因 为 底下 是 实体 的 定义 ， 而 上 层 则 是 软 
件 封装 的 定义 。 因 此 第 二 层 又 分 两 个 子 层 在 进行 数据 的 转换 动作 。 在 偏 
硬件 媒体 部 分 ， 主 要 负责 的 是 MAC (Media Access Control) ， 我 们 称 这 
个 数据 报 衰 为 MAC 讯 框 (frame) ，MAC 是 网 络 媒体 所 能 处 理 的 主要 数 
据 报 时 ， 这 也 是 最 终 被 物理 层 编 码 成 位 囊 的 数据 。MAC 必须 要 经 由 通讯 
协议 来 取得 媒体 的 使 用 权 ， 目 前 最 常 使 用 的 则 是 IEEE 802.3 的 以 太 网 
络 协议 。 详 细 的 MAC 与 以 太 网 络 请 参考 下 节 说 明 。 至 于 偏向 软件 的 部 分 
则 是 由 逻辑 链接 层 (logical link control, LLC) 所 控制 ， 主 要 在 多 任务 处 理 
来 自 上 层 的 封包 数据 (packet) 并 转 成 MAC 的 格式 ， 负 责 的 工作 包括 讯 
息 交换 、 流 量 控制 、 失 误 问 题 的 处 理 等 等 。 


这 一 层 是 我 们 最 感 兴趣 的 嘿 ， 因 为 我 们 提 及 的 IP (Internet Protocol) 就 是 
在 这 一 层 定 义 的 。 同时 也 定义 出 计算 机 之 间 的 联机 建立 、 终 止 与 维持 
等 ， 数 据 封 包 的 传输 路 径 选择 等 等 ， 因 此 这 个 层级 当中 最 重要 的 除了 IP 
之 外 ， 就 是 封包 能 否 到 达 目 的 地 的 路 由 (route) 概念 了 ! 


这 一 个 分 层 定义 了 发 送 端 与 接收 端的 联机 技术 (如 TCP, UDP 技术 )， 同 
时 包括 该 技术 的 封包 格式 ， 数 据 封包 的 传送 、 流 程 的 控制 、 传 输 过 程 的 
侦 测 检查 与 复原 重新 传送 等 等 ， 以 确保 各 个 数据 封包 可 以 正确 无 误 的 到 
达 目 的 端 。 


在 这 个 层级 当中 主要 定义 了 两 个 地 址 之 间 的 联机 信道 之 连接 与 挂 断 ， 此 
外 ， 亦 可 建立 应 用 程序 之 对 谈 、 提 供 其 他 加 强 型 服务 如 网 络 管理 、 签 到 
签 退 、 对 谈 之 控制 等 等 。 如 果 说 传送 层 是 在 判断 资料 封包 是 否 可 以 正确 
的 到 达 目标 ， 那 么 会 谈 层 则 是 在 确定 网 络 服务 建立 联机 的 确认 。 


我 们 在 应 用 程序 上 面 所 制作 出 来 的 数据 格式 不 一 定 符合 网 络 传输 的 标准 
编码 格式 的 ! 所 以 ， 在 这 个 层级 当中 ， 主 要 的 动作 就 是 : 将 来 自 本 地 端 
应 用 程序 的 数据 格式 转换 (或 者 是 重新 编码 ) 成 为 网 络 的 标准 格式 ， 然 后 
再 交 给 底下 传送 层 等 的 协议 来 进行 处 理 。 所 以 ， 在 这 个 层级 上 面 主要 定 
义 的 是 网 络 服务 (或 程序 ) 之 间 的 数据 格式 的 转换 ， 包 括 数据 的 加 解密 也 
是 在 这 个 分 层 上 面 处 理 。 


应 用 层 本 身 并 不 属于 应 用 程序 所 有 ， 而 是 在 定义 应 用 程序 如 何 进入 此 层 
的 沟通 接口 ， 以 将 数据 接收 或 传送 给 应 用 程序 ， 最 终 展 示 给 用 户 。 


事实 上 ，OSI 七 层 协 议 只 是 一 个 参考 的 模型 (model)， 目 前 的 网 络 社会 并 没有 什么 很 知名 的 
操作 系统 在 使 用 OSI 七 层 协定 的 联网 程序 代码 。 那 .…. 讲 这 么 多 干 嘛 ? 这 是 因为 OSI 所 定义 出 
来 的 七 层 协 议 在 解释 网 络 传输 的 情况 来 说 ， 可 以 解释 的 非常 棒 ， 因 此 大 家 都 拿 OSI 七 层 协 议 
来 做 为 网 络 的 教学 与 概念 的 理解 。 至 于 实际 的 联网 程序 代码 ， 那 就 交 给 TCP/IP 这 个 玩意 儿 
吧 | 


2.1.5 计算 机 网 络 协议 : TCPIIP 


虽然 OSI 七 层 协 议 的 架构 非常 严谨 ， 是 学 习 网 络 的 好 材料 。 但 是 也 就 是 因为 大 过 严谨 了 ， 
此 程序 撰写 相当 不 容易 ， 所 以 造成 它 在 发 展 上 面 些 许 的 困扰 。 而 由 ARPANET 发 展 而 来 的 

TCP/IP 又 如 何 呢 ?其实 TCP/IP 也 是 使 用 OSI 七 层 协 议 的 观念 ， 所 以 同样 具有 分 层 的 架构 ， 
只 是 将 它 简化 为 四 层 ， 在 结构 上 面 比较 没有 这 么 严谨 ， 程 序 撰写 会 比较 容易 些 。 后 来 在 1990 
年 代 由 于 email, WWW 的 流行 ， 造 成 TCP/IP 这 个 标准 为 大 家 所 接受 ， 这 也 造就 目前 我 们 的 
网 络 社会 史 ! 


既然 TCP/IP 是 由 OSI 七 层 协议 简化 而 来 ， 那 么 这 两 者 之 间 有 没有 什么 相关 性 呢 ? 它们 的 相 
关 性 可 以 图 示 如 下 ， 同 时 这 里 也 列 出 目前 在 这 架构 底下 常见 的 通讯 协议 、 封 包 格 式 与 相关 标 
准 : 


相关 通讯 协议 与 标准 


OSI 七 层 协 定 


WAN: Modem, ISDN, ATM. Serial 





图 2.1-4、OS| 与 
TCP/IP 协议 之 相关 性 


从 上 图 中 ， 我 们 可 以 发 现 TCP/IP 将 应 用 、 表 现 、 会 谈 三 层 整合 成 一 个 应 用 层 ， 在 应 用 层 上 面 
可 以 实 作 的 程序 协议 有 HTTP, SMTP, DNS 等 等 。 传 送 层 则 没有 变 ， 不 过 依据 传送 的 可 靠 性 
又 将 封包 格式 分 为 连接 导向 的 TCP 及 非 连接 导向 的 UDP 封包 格式 。 网 络 层 也 没有 变 ， 主 要 
内 容 是 提供 了 IP 封包 ， 并 可 选择 最 佳 路 由 来 到 达 目 标 IP 地 址 。 数 据 链 结 层 与 物理 层 则 整合 
成 为 一 个 链 结 层 ， 包 括 定义 硬件 讯号 、 讯 框 转 位 串 的 编码 等 等 ， 因 此 主要 与 硬件 (不 论 是 区 网 
还 是 广域网 ) 有 关 。 


WU 
联机 的 状态 可 以 这 样 看 : 


1. 应 用 程序 阶段 : 你 打开 浏览 器 ， 在 浏览 器 上 面 输入 网 址 列 ， 按 下 [Enter]。 此 时 网 址 列 与 
相关 数据 会 被 浏览 器 包 成 一 个 数据 ， 并 向 下 传 给 TCP/IP 的 应 用 层 ; 

2. 应 用 层 : 由 应 用 层 提供 的 HTTP 通讯 协议 ， 将 来 自 浏览 器 的 数据 报 起 来 ， 并 给 予 一 个 应 
用 层 表 头 ， 再 向 传送 层 丢 去 ; 

3. 传送 层 : 由 于 HTTP 为 可 靠 联机 ， 因 此 将 该 数据 丢 入 TCP 封包 内 ， 并 给 予 一 个 TCP 封 
包 的 表 头 ， 向 网 络 层 丢 去 ; 

4. 网 络 层 : 将 TCP 包 衰 包 进 IP 封包 内 ， 再 给 予 一 个 IP 表 头 (主要 就 是 来 源 与 目标 的 IP 
喝 ) ， 向 链 结 层 丢 去 ; 

5. 链 结 层 : 如 果 使 用 以 大 网 络 时 ， 此 时 IP 会 依据 CSMA/CD 的 标准 ， 包 应 到 MAC 讯 框 


中 ， 并 给 予 MAC 表 头 ， 再 转 成 位 串 后 ， 利 用 传输 媒体 传送 到 远程 主机 上 。 


等 到 Yahoo 收 到 你 的 包 庄 后 ， 在 依据 相反 方向 拆 解 开 来 ， 然 后 交 给 对 应 的 层级 进行 分 析 ， 最 
后 就 让 Yahoo 的 WWW 服务 器 软件 得 到 你 所 想 要 的 数据 ， 该 服务 器 软件 再 根据 你 的 要 求 ， 取 
得 正确 的 资料 后 ， 又 依循 上 述 的 流程 ， 一 层 一 层 的 包装 起 来 ， 最 后 传送 到 你 的 手 上 ! 就 是 这 
样 虽 |! 


根据 这 样 的 流程 ， 我 们 就 得 要 知道 每 个 分 层 所 需要 了 解 的 基础 知识 ， 这 样 才 算 学 习 网 络 基础 
嘛 | 所 以 底下 我 们 会 依据 TCP/IP 的 链 结 层 、 网 络 层 、 传 送 层 来 进行 说 明 ， 应 用 层 的 协议 则 在 
后 续 章 节 中 有 对 应 的 协定 再 来 谈 哩 1 同时 我 们 也 知道 ， 网络 媒体 一 次 传输 的 数据 量 是 有 限 
的 ， 因 此 如 果 要 被 传输 的 数据 太 大 时 ， 我 们 在 分 层 的 包装 中 ， 就 得 要 将 数据 先 拆 开放 到 不 同 
的 包 庄 中 ， 再 给 包 圳 一 个 序号 ， 好 让 目的 端的 主机 能 够 藉 由 这 些 序号 再 重新 将 数据 整合 回 
来 ! 很 有 趣 吧 ! 接 下 来 就 让 我 们 一 层 一 层 来 介绍 嘿 | 

Tips: 一 般 来 说 ， 因 为 应 用 程序 与 程序 设计 师 比 较 有 关系 ， 而 网 络 层 以 下 的 数据 则 主要 是 操作 


系统 提供 的 ， 因 此 ， 我 们 又 将 TCP/IP 当中 的 应 用 层 视 为 使 用 者 层 ， 而 底下 的 三 层 才 是 我 们 
主要 谈 及 的 网 络 基础 ! 所 以 这 个 章节 主要 就 是 介绍 这 三 层 啦 1! 





2.2 TCPIIP 的 链 结 层 相 关 协 议 


TCP/IP 最 底层 的 链 结 层 主要 与 硬件 比较 有 关系 ， 因 此 底下 我 们 主要 介绍 一 些 WAN 与 LAN 的 
硬件 。 同时 会 开始 介绍 那 重要 的 CSMA/CD 的 以 太 网 络 协议 ， 以 及 相关 的 硬件 与 MAC 讯 框 
格式 等 。 那 就 开始 来 聊 聊 史 ! 


2.2.1 广域网 使 用 的 设备 


在 2.1.3 节 我 们 有 提 到 过 ， 广 域 网 使 用 的 设备 价格 较为 低廉 。 不 过 广域网 使 用 到 的 设备 非常 
的 多 ， 一 般 用 户 通常 会 接触 到 的 主要 是 ADSL 调制 解 调 器 或 者 是 光纤 到 大 厦 ， 以 及 第 四 台 的 
Cable 宽带 等 。 在 这 里 我 们 先 介 绍 一 些 比较 常见 的 设备 ， 如 果 以 后 你 有 机 会 接触 到 其 他 设备 ， 
再 请 你 依据 需求 自行 查阅 相关 书籍 吧 ! 


e 传统 电话 拨 接 : 透 过 ppp 协议 


早期 网 络 大概 都 只 能 透 过 调制 解 调 器 如 上 电话 线 以 及 计算 机 的 九 针 串 行 端口 (以 前 接 和 鼠标 
或 游戏 杆 的 插 孔 )， 然 后 透 过 Point-to-Point Protocol (PPP 协议 ) 配合 拨 接 程序 来 取得 网 
络 IP 参数 ， 这 样 就 能 够 上 网 了 。 不 过 这 样 的 速度 非常 慢 ， 而 且 当 电话 拨 接 后 ， 就 不 能 够 
讲 电话 了 | 因为 PPP 支持 TCP/IP, NetBEUI1, IPX/SPX 等 通讯 协议 ， 所 以 使 用 度 非常 
广 ! 

e。 整合 服务 数字 网 络 (Integrated Services Digital Network, ISDN) 


也 是 利用 现 有 的 电话 线路 来 达成 网 络 联机 的 目的 ， 只 是 联机 的 两 端 都 需要 有 ISDN 的 调 
制 解 调 器 来 提供 联机 功能 。1ISDN 的 传输 有 多 种 通道 可 供 使 用 ， 并 且 可 以 将 多 个 信道 整 
合 应 用 ， 因 此 速度 可 以 成 倍 成 长 。 es B 信道 速度 约 为 64Kbps ， 但 如 美国 规格 使 用 
23 个 以 上 的 通道 来 达成 联机 ， 此 时 速度 可 达 1.5Mbps 左右 。 不 过 人 台湾 这 玩意 儿 比 较 少 
见 。 


非 对 称 数位 用 路 回路 (Asymmetric Digital Subscriber Line, ADSL) : 透 过 pppoe 协定 


也 是 透 过 电话 线 来 拨 接 后 取得 IP 的 一 个 方法 ， 只 不 过 这 个 方式 使 用 的 是 电话 的 高 频 部 

分 ， 与 一 般 讲 电话 的 频率 不 同 。 因此 炼 可 以 一 边 使 用 ADSL 上 网 同时 透 过 同一 个 电话 号 

码 来 打 电 话 聊天 。 在 台湾 ， 由 于 上 传 /下 载 的 带宽 不 同 ， 因 此 才 称 为 非 对 称 的 回路 。 

ADSL 同样 使 用 调制 解 调 器 ， 只 是 他 透 过 的 是 PPPoE (PPP over Ethernet) 的 方法 1 将 

ee 因此 你 的 主机 需要 透 过 一 张 网 络 卡 来 连接 到 调制 解 调 器 ， 并 
过 拨 接 程序 来 取得 新 的 接口 (ppp0) 哩 1 


。 电缆 调制 解 调 器 (Cable modem) 


主要 透 过 有 线 电 视 (台湾 所 谓 的 第 四 台 ) 使 用 的 缆 线 作为 网 络 讯号 媒体 ， 同 样 需要 具备 调 
制 解 调 器 来 连接 到 ISP， 以 取得 网 络 参数 来 上 网 。Cable modem 的 带宽 主要 是 分 享 型 
的 ， 所 以 通常 具有 区 域 性 ， 并 不 是 你 想 装 就 能 装 的 哩 ! 


2.2.2 局 域 网 络 使 用 的 设备 -以 太 网 络 


在 局 域 网 络 的 环境 中 ， 我 们 最 常 使 用 的 就 是 以 太 网 络 。 当 然 啦 ， 在 某 些 超 高 速 网 络 应 用 的 环 
境 中 ， 还 可 能 会 用 到 价格 相当 总 贵 的 光纤 信道 哩 。 只 是 如 同 前 面 提 到 的 ， 以 太 网 络 因为 已 经 
标准 化 了 ， 设 备 设置 费用 相对 低廉 ， 所 以 一 般 你 会 听 到 什么 网 络 线 或 者 是 网 络 媒 体 ， 几 乎 都 
是 使 用 以 太 网 络 来 架设 的 环境 啦 | 只 是 这 里 还 是 要 提醒 您 ， 整 个 网 络 世 界 并 非 仅 有 以 太 网 络 
这 个 硬件 接口 喔 1 事实 上 ， 想 了 解 整个 以 太 网 络 的 发 展 ， 建 议 你 可 以 直接 参考 风 信 子 与 张 民 
人 先生 翻译 的 『Switched & Fast 以 大 网 络 」 一 书 ， 该 书 内 容 相 当 的 有 趣 ， 担 适合 阅读 的 呐 。 
底下 我 们 仅 做 个 简单 的 介绍 而 已 。 


e 以 大 网 络 的 速度 与 标准 


以 太 网 络 的 流行 主要 是 它 成 为 国际 公认 的 标准 所 致 。 早 先 IEEE 所 制订 的 以 太 网 络 标准 为 
802.3 的 IEEE 10BASE5 ， 这 个 标准 主要 的 定义 是 : 『10 代表 传输 速度 为 10Mbps，BASE 
表示 采用 基 频 信号 来 进行 传输 ， 至 于 5 则 是 指 每 个 网 络 节 点 之 间 最 长 可 达 500 公 尺 。] 


由 于 网 络 的 传输 信息 就 是 0 与 1 啊 ， 因 此 ， 数 据 传输 的 单位 为 每 秒 多 少 bit ， 亦 即 是 M 
bits/second, Mbps 的 意思 。 那 么 为 何 制订 成 为 10Mbps 呢 ? 这 是 因为 早期 的 网 络 线 压 制 的 方 
法 以 及 相关 的 制作 方法 ， 还 有 以 太 网 络 卡 制作 的 技术 并 不 是 很 好 ， 加 上 当时 的 数据 传输 需求 
并 没有 像 现在 这 么 高 ， 所 以 10Mbps 已 经 可 以 符合 大 多 数 人 的 需求 了 。 


Tips: 我 们 看 到 的 网 络 提 供 者 (Internet Services Provider, ISP) 所 宣称 他 们 的 ADSL 传输 速度 
可 以 达到 下 行 /上 行 2Mbps/128Kbps (Kbits per second) 时 ， 那 个 Kb 指 的 可 不 是 bytes 而 是 
bits 吗 ! 所 以 2M/128K 在 实际 的 档案 大 小 传输 速度 上 面 ， 最 大 理论 的 传输 为 256KBps/16 
KBps(KBytes per second)， 所 以 正常 下 载 的 速度 约 在 每 秒 100~200 KBytes 之 问 呐 ! 同样 的 
道理 ， 在 网 络 卡 或 者 是 一 些 网 络 媒体 的 广告 上 面 ， 他 们 都 会 宣称 自己 的 产品 可 以 自动 辨识 传 
输 速 度 为 10/100 Mbps ( Mega-bits per second)， 呵 呵 ! 该 数值 还 是 得 再 除 以 8 才 是 我 们 一 
般 常 用 的 档案 容量 计算 的 单位 bytes 喔 ! 





早期 的 网 络 线 使 用 的 是 加 式 的 同 轴 电 缆 线 ， 这 种 线路 在 现在 几乎 已 经 看 不 到 了 “。 取 而 代 之 的 
是 类 似 传 统 电话 线 的 双 绞 线 (Twisted Pair Ethernet) ，1IEEE 并 将 这 种 线路 的 以 太 网 络 传输 方 
法 制订 成 为 10BASE-T 的 标准 。 10BASE-T 使 用 的 是 10 Mbps 全 速 运 作 且 采用 无 庶 敲 式 双 绞 


线 (UTP) 的 网 络 线 。 此 外 ，10BASE-T 的 UTP 网 络 线 可 以 使 用 星 形 联机 (star) ， 也 就 是 以 一 
个 集线器 为 中 心 来 囊 连 各 网 络 设备 的 一 个 方法 ， 图 2.1-1 就 是 星 形 联机 的 一 个 示意 图 。 


不 同 于 早期 以 一 条 同 轴 电缆 线 链接 所 有 的 计算 机 的 bus 联机 ， 透 过 星 形 联机 的 帮助 ， 我 们 可 
以 很 简单 的 加 装 其 他 的 设备 或 者 是 移 除 其 他 设备 ， 而 不 会 受到 其 他 装置 的 影响 ， 这 对 网 络 设 
备 的 扩充 性 与 除 错 来 说 ， 都 是 一 项 相当 棒 的 设计 ! 也 因此 10BASE-T 让 以 太 网 络 设备 的 销售 
额 大 幅 提升 啊 ! 


后 来 IEEE 更 制订 了 802.3u 这 个 支持 到 100Mbps 传输 速度 的 100BASE-T 标准 ， 这 个 标准 与 
10BASE-T 差异 不 大 ， 只 是 双 绞 线 线材 制作 需要 更 精良 ， 同 时 也 已 经 支持 使 用 了 四 对 绞 线 的 
网 络 线 了 ， 也 就 是 目前 很 常见 的 八 蓝 网 络 线 呐 1 这 种 网 络 线 我 们 常 称 为 等 级 五 (Category 5， 
CAT5) 的 网 络 线 。 这 种 传输 速度 的 以 太 网 络 就 被 称 为 Fast ethernet 。 至 于 目前 我 们 常常 听 到 
的 Gigabit 网 络 速度 1000 Mbps 又 是 什么 呐 ? 那 就 是 Gigabit ethernet 哩 ! 只 是 Gigabit 
ethernet 的 网 络 线 就 需要 更 加 的 精良 。 


名 称 速度 网 络 线 等 级 
以 大 网 络 (Ethernet) 10Mbps - 
高 速 以 太 网 络 (Fast Ethernet) 100Mbps CATS 
超 高 速 以 太 网 络 (Gigabit Ethernet) 1000Mbps CAT 5e/CAT 6 


为 什么 每 当 传输 速度 增加 时 ， 网 络 线 的 要 求 就 更 严格 呢 ? 这 是 因为 当 传输 速度 增加 时 ， 线 材 
的 电磁 效应 相互 干扰 会 增强 ， 因 此 在 网 络 线 的 制作 时 就 得 需要 特别 注意 线材 的 质料 以 及 内 部 
线 蓝 心 之 间 的 缠绕 情况 配置 等 ， 以 使 电子 流 之 间 的 电磁 干扰 降 到 最 小 ， 才 能 使 传输 速度 提升 
到 应 有 的 Gigabit 。 所 以 说 ， 在 以 太 网 络 世界 当中 ， 如 果 你 想 要 提升 原 有 的 fast ethernet 到 
gigabit ethernet 的 话 ， 除 了 网 络 卡 需要 升级 之 外 ， 主 机 与 主机 之 间 的 网 络 线 ， 以 及 连接 主机 
线路 的 集线器 /交换 器 等 ， 都 必须 要 提升 到 可 以 支持 gigabit 速度 等 级 的 设备 才 行 喔 ! 


。 以 太 网 络 的 网 络 线 接头 ( 跳 线 /并 行 线 ) 


前 面 提 到 ， 网 络 的 速度 与 线材 是 有 一 定 程度 的 相关 性 的 ， 那 么 线材 的 接头 又 是 怎样 呢 ? 目前 
在 以 太 网 络 上 最 常见 到 的 接头 就 是 RJ-45 的 网 络 接头 ， 共 有 八 蓝 的 接头 ， 有 点 像 是 胖 了 的 电 
话 线 接头 ， 如 下 所 示 : 


RJ-45 接 头 





图 2.2-1、RJ-45 接头 示意 图 


而 RJ-45 接头 又 因为 每 条 蕊 线 的 对 应 不 同 而 分 为 568A 与 568B 接头 ， 这 两 款 接 头 内 的 蔓 线 
对 应 如 下 表 : 


接头 名 称 \ 蕉 线 顺 序 1 2 3 4 5 6 7 8 
568A 白 绿 绿 白桦 蓝 白 蓝 橙 白 标 标 
568B 白 橙 榜 白 绿 牙 白 蓝 绿 白 标 标 


事实 上 ， 虽 然 目前 的 以 太 网 络 线 有 八 忒 且 两 两 成 对 ， 但 实际 使 用 的 只 有 1,2,3,6 黄 而 已 ， 其 他 
的 则 是 某 些 特殊 用 途 的 场合 才 会 使 用 到 。 但 由 于 主机 与 主机 的 联机 以 及 主机 与 集线器 的 联机 
时 ， 所 使 用 的 网 络 线 脚 位 定义 并 不 相同 ， 因 此 由 于 接头 的 不 同 网 络 线 又 可 分 为 两 种 : 


。 跳 线 : 一 边 为 568A 一 边 为 568B 的 接头 时 称 为 跳 线 ， 用 在 直接 链接 两 部 主机 的 网 络 卡 。 
。 并 行 线 : 两 边 接头 同 为 568A 或 同 为 568B 时 称 为 并 行 线 ， 用 在 链接 主机 网 络 卡 与 集线器 
之 问 的 线材 ; 


2.2.3 以 大 网 络 的 传输 协议 : CSMA/CD 


整个 以 太 网 络 的 重心 就 是 以 太 网 络 卡 啦 ! 所 以 说 ， 以 太 网 络 的 传输 主要 就 是 网 络 卡 对 网 络 卡 

之 间 的 数据 传递 而 已 。 每 张 以 太 网 络 卡 出 厂 时 ， 就 会 赋予 一 个 独一无二 的 卡号 ， 那 就 是 所 谓 

的 MAC (Media Access Control) 啦 ! 理论 上 ， 网 卡 卡号 是 不 能 修改 的 ， 不 过 某 些 笔记 本 电脑 
的 网 卡 卡号 是 能 够 修改 的 哆 ! 那么 以 太 网 络 的 网 卡 之 间 数 据 是 如 何 传输 的 呢 ? 那 就 得 要 谈 一 
下 IEEE 802.3 的 标准 CSMA/CD (Carrier Sense Multiple Access with Collision Detection) 

了 ! 我 们 以 下 图 来 作为 简介 ， 下 图 内 的 中 心 点 为 集线器 ， 各 个 主机 都 是 联机 到 集线器 ， 然 后 
透 过 集线器 的 功能 向 所 有 主机 发 起 联机 的 。 


图 2.2-2、CSMA/CD 联 机 





集线器 是 一 种 网 络 共享 媒体 ， 什 么 是 网 络 共享 媒体 啊 ? 想象 一 下 上 述 的 环境 就 像 一 个 十 字 路 
口 ， 而 集线器 就 是 那个 路 口 | 这 个 路 口 一 次 只 允许 一 辆 车 通过 ， 如 果 两 辆 车 同时 使 用 这 个 路 
口 ， 那 么 就 会 发 生 碰撞 的 车 福 事 件 啊 | 那 就 是 所 谓 的 共享 媒体 。 也 就 是 说 ， 网 络 共享 媒体 在 
单一 时 间 点 内 ， 仅 能 被 一 部 主机 所 使 用 。 


理解 了 共享 媒体 的 意义 后 ， 再 来 ， 我 们 就 得 要 讨论 ， 那 么 以 太 网 络 的 网 卡 之 间 是 如 何 传输 的 
呢 ? 我 们 以 上 图 中 的 A 要 发 给 D 网 卡 为 例 好 了 ， 简 单 的 说 ，CSMA/CD 搭配 上 述 的 环境 ， 它 
的 传输 情况 需要 有 以 下 的 流程 : 


1. 


监听 媒体 使 用 情况 (Carrier Sense) : A 主机 要 发 送 网 络 封包 前 ， 需 要 先 对 网 络 媒体 进行 
监听 ， 确 认 没 有 人 在 使 用 后 ， 才 能 够 发 送出 讯 框 ; 


多 点 传输 (Multiple Access) : A 主机 所 送出 的 数据 会 被 集线器 复制 一 份 ， 然 后 传送 给 所 有 
连接 到 此 集线器 的 主机 | 也 就 是 说 ，A 所 送出 的 数据 ，B, C, D 三 部 计算 机 都 能 够 接收 
的 到 1 但 由 于 目标 是 D 主机 ， 因 此 BB 与 C 会 将 此 讯 框 数 据 丢弃 ， 而 D 则 会 抓 下 来 处 

理 ; 


， 碰撞 侦 测 (Collision Detection) : 该 讯 框 数据 附 有 检测 能 力 ， 若 其 他 主机 例如 B 计 草 机 也 


刚好 在 同时 间 发 送 讯 框 数据 时 ， 那 么 A 与 B 送出 的 数据 碰撞 在 一 块 (出 车 福 ) ， 此 时 这 些 
讯 框 就 是 损毁 ， 那 么 A 与 B 就 会 各 自 随机 等 待 一 个 时 间 ， 然 后 重新 透 过 第 一 步 再 传送 一 
次 该 讯 框 数据 。 


了 解 这 个 程序 很 重要 吗 ? 我 们 就 来 谈 谈 : 


。 网 络 忙碌 时 ， 集 线 器 灯 号 闪 个 不 停 ， 但 我 的 主机 明明 没有 使 用 网 络 : 透 过 上 述 的 流程 我 


们 会 知道 ， 不 管 哪 一 部 主机 发 送出 讯 框 ， 所 有 的 计算 机 都 会 接收 到 ! 因为 集线器 会 复制 
一 份 该 数据 给 所 有 计算 机 。 因此， 虽然 只 有 一 部 主机 在 对 外 联机 ， 但 是 在 集线器 上 面 的 
所 有 计算 机 灯 号 就 都 会 闪 个 不 停 ! 


我 的 计算 机 明明 没有 被 入 侵 ， 为 何 我 的 数据 会 被 隔壁 的 计划 机 窃取 : 透 过 上 述 的 流程 ， 
我 们 只 要 在 B 计 工 机 上 面 安装 一 套 监 听 软 件 ， 这 套 软 件 将 原本 要 丢弃 的 讯 框 数据 捉 下 来 
分 析 ， 并 且 加 以 重组 ， 就 能 够 知道 原本 人 A 所 送出 的 讯息 了 。 这 也 是 为 什么 我 们 都 建议 重 
要 数据 在 因特网 上 面 得 要 『 加 密 」 后 再 传输 ! 


既然 共享 媒体 只 有 一 个 主机 可 以 使 用 ， 为 何 大 家 可 以 同时 上 网 : 这 个 问题 就 有 趣 了 ， 既 
然 共享 媒体 一 次 只 能 被 一 个 主机 所 使 用 ， 那 么 万 一 我 传输 100MB 的 档案 ， 集 线 器 就 得 被 


我 使 用 80 秒 (以 10Mbps 传输 时 )， 在 这 期 间 其 他 人 都 不 可 以 使 用 吗 ? 不 是 的 ， 由 于 标准 
的 讯 框 数据 在 网 络 卡 与 其 他 以 太 网 络 媒体 一 次 只 能 传输 1500bytes， 因 此 我 的 100MB 档 
案 就 得 要 拆 成 多 个 小 数据 报 ， 然 后 一 个 一 个 的 传送 ， 每 个 数据 报 传 送 前 都 要 经 过 
CSMA/CD 的 机 制 。 所 以 ， 这 个 集线器 的 使 用 权 是 大 家 抢 着 用 的 ! 即使 只 有 一 部 主机 在 
使 用 网 络 媒体 时 ， 那 么 这 部 主机 在 发 送 每 个 封包 间 ， 也 都 是 需要 等 待 一 段 时 间 的 (96 bit 
time) ! 


e 讯 框 要 多 大 比较 好 ? 能 不 能 修改 讯 框 ? : 如 上 所 述 ， 那 么 讯 框 的 大 小 能 不 能 改变 呢 ? 
为 如 果 讯 框 的 容量 能 够 增 大 ， 那 么 小 数据 报 的 数量 就 会 减少 ， 那 每 个 讯 框 传送 间 的 等 待 
就 可 以 减少 了 | 是 这 样 没 错 ， 但 是 以 太 网 络 标 准 讯 框 确实 定义 在 1500 bytes ， 但 近来 的 
超 高 速 以 太 网 络 媒体 有 支持 Jumbo frame (巨型 讯 框 , 注 10) 的 话 ， 那 么 就 能 够 将 讯 框 大 小 
改 为 9000bytes 哩 ! 但 不 是 很 建议 大 家 随便 修改 啦 ! 为 什么 呢 ?2.2.5 MTU 那 小 节 再 


说 。 


2.2.4 MAC 的 封装 格式 


上 面 提 到 的 CSMA/CD 传送 出 去 的 讯 框 数据 ， 其 实 就 是 MAC 啦 ! MAC 其 实 就 是 我 们 上 面 一 
直 讲 到 的 讯 框 (frame) 史 ! 只 是 这 个 讯 框 上 面 有 两 个 很 重要 的 数据 ， 就 是 目标 与 来 源 的 网 卡 
卡号 ， 因 此 我 们 又 简称 网 卡 卡号 为 MAC 而 已 。 简单 的 说 ， 你 可 以 把 MAC 想 成 是 一 个 在 网 络 
线 上 面 传 递 的 包 庄 ， 而 这 个 包 于 是 整个 网 络 硬件 上 面 传送 数据 的 最 小 单位 了 。 也 就 是 说 ， 网 
络 线 可 想 成 是 一 条 『 一 次 仅 可 通过 一 个 人 J 的 独木桥 ， 而 MAC 就 是 在 这 个 独木桥 上 面 动 的 
人 啦 ! 接 下 来 ， 来 看 一 看 MAC 这 个 讯 框 的 内 容 吧 ! 


前 导 码 目的 地 址 | 来 源 地 址 | 数据 字段 通讯 主要 数据 检查 码 
8 Bytes | 6 Bytes | 6 Bytes 2 Bytes 46-1300 Bytes | 4 Bytes 
图 2.2-3、 以 太 网 络 








的 MAC 讯 杠 


上 图 中 的 目的 地 址 与 来 源 地 址 指 的 就 是 网 卡 卡 号 (hardware address, 硬件 地 址 )， 我 们 前 面 提 
到 ， 每 一 张 网 卡 都 有 一 个 独一无二 的 卡号 ， 那 个 卡号 的 目的 就 在 这 个 讯 框 的 表 头 数据 使 用 到 
啦 ! 硬件 地 址 最 小 由 00:00:00:00:00:00 到 FF:FF:FF:FF:FF:FF (16 进位 法 )， 这 6 bytes 当 
中 ， 前 3bytes 为 厂商 的 代码 ， 后 3bytes 则 是 该 厂商 自行 设 定 的 装置 码 了 。 


在 Linux 当中 ， 你 可 以 使 用 ifconfig 这 个 指令 来 查阅 你 的 网 络 卡 卡号 喔 ! 特别 注意 ， 在 这 个 
MAC 的 传送 中 ， 他 仅 在 局 域 网 络 内 生效 ， 如 果 跨 过 不 同 的 网 域 (这 个 后 面 IP 的 部 分 时 会 介 
绍 )， 那 么 来 源 与 目的 的 硬件 地 址 就 会 跟着 改变 了 。 这 是 因为 变 成 不 同 网 络 卡 之 间 的 交流 了 
嘛 1 所 以 卡号 当然 不 同 了 ! 如 下 所 示 : 





来 源 : MAC-] || 来 源 : MAC-3 


a a < 二 [2 
目标 : MAC-2 目标 : MAC-4 


MAC-1 MAC-2 MAC-3 MAC-4 图 22-4、 同 一 
讯 框 在 不 同 网 域 的 主机 间 传 送 时 ， 讯 框 的 表 头 变化 
例如 上 面 的 图 标 ， 我 的 数据 要 由 计算 机 人 A 通 过 日 后 才 送 达 C， 而 B 计 算 机 有 两 块 网 络 卡 ， 其 


中 MAC-2 与 A 计 算 机 的 MAC-1 互通 ， 至 于 MAC-3 则 与 C 计算 机 的 MAC-4 互通 。 但 是 
MAC-1 不 能 与 MAC-3 与 MAC-4 互通 ， 为 哈 ? 因为 MAC-1 这 块 网 络 卡 并 没有 与 MAC-3 及 


MAC-4 使 用 同样 的 switch/hub 相 接 嘛 ! 所 以 ， 数 据 的 流通 会 变 成 : 


1.， 先 由 MAC-1 传送 到 MAC-2 ， 此 时 来 源 是 MAC-1 而 目的 地 是 MAC-2 ; 

2. B 计算 机 接收 后 ， 察 看 该 讯 框 ， 发 现 目标 其 实 是 C 计算 机 ， 而 为 了 与 C 计算 机 沟通 ， 所 
以 他 会 将 讯 框 内 的 来 源 MAC 改 为 MAC-3， 而 目的 改 为 MAC-4 ， 如 此 就 可 以 直接 传送 
到 C 计 草 机 了 。 


也 就 是 说 ， 只 要 透 过 B (就 是 路 由 器 ) 才 将 封包 送 到 另 一 个 网 域 (IP 部 分 会 讲 ) 去 的 时 候 ， 那 么 
讯 框 内 的 硬件 地 址 就 会 被 改变 ， 然 后 才能 够 在 同一 个 网 域 里 面 直接 进行 讯 框 的 流通 啊 ! 
Tips: 由 于 网 络 卡 卡号 是 跟着 网 络 卡 走 的 ， 并 不 会 因为 重 灌 操作 系统 而 改变 ， 所 以 防火 墙 软件 


大 多 也 能 够 针对 网 络 卡 来 进行 抵挡 的 工作 喔 ! 不 过 抵挡 网 卡 仅 能 在 局 域 网 络 内 进行 而 已 ， 
为 MAC 不 能 跨 router 嘛 ! | 





。 为 什么 资料 量 最 小 要 46 最 大 为 1500 bytes 呢 ? 


讯 框 内 的 数据 内 容 最 大 可 达 1500bytes 这 我 们 现在 知道 了 ， 那 为 何 要 规范 最 小 数据 为 
46bytes 呢 ? 这 是 由 于 CSMA/CD 机 制 所 算出 来 的 ! 在 这 个 机 制 上 面 可 算出 若 要 侦 测 碰 
撞 ， 则 讯 框 总 数据 量 最 小 得 要 有 64bytes ， 那 再 扣除 目的 地 址 、 来 源 地 址 、 检 查 码 (前 导 
码 不 算 ) 后 ， 就 可 得 到 数据 量 最 小 得 要 有 46bytes 了 ! 也 就 是 说 ， 如 果 隶 要 传输 的 数据 
小 于 46byes ， 那 我 们 的 系统 会 主动 的 填 上 一 些 填充 码 ， 以 补 齐 至 少 46bytes 的 容量 

行 ! 


2.2.5 MTU 最 大 传输 单位 


通过 上 面 MAC 封装 的 定义 ， 现 在 我 们 知道 标准 以 太 网 络 讯 框 所 能 传送 的 数据 量 最 大 可 以 到 达 
1500 bytes ， 这 个 数值 就 被 我 们 称 为 MTU (Maximum Transmission Unit, 最 大 传输 单位 ) 。 
你 得 要 注意 的 是 ， 每 种 网 络 接口 的 MTU 都 不 相同 ， 因 此 有 的 时 候 在 某 些 网 络 文章 上 面 你 会 看 
到 1492 bytes 的 MTU 等 等 。 不 过 ， 在 以 太 网 络 上 ， 标 准 的 定义 就 是 1500 bytes。 


在 待 会 儿 会 介绍 到 的 IP 封包 中 ， 这 个 IP 封 包 最 大 可 以 到 65535 bytes， 比 MTU 还 要 大 呢 ! 
既然 礼物 (IP) 都 比 盒子 (MAC) 大 ， 那 怎么 可 能 放 的 进去 啊 ? 所 以 吧 ，IP 封包 是 可 以 进行 拆 
解 的 ， 然 后 才能 放 到 MAC 当中 啊 ! 等 到 数据 都 传 到 目的 地 ， 再 由 目的 地 的 主机 将 他 组 装 回 
来 就 是 了 。 所 以 嚼 ， 如 果 MTU 能 够 大 一 些 的 话 ， 那 么 IP 封包 的 拆 解 情况 就 会 降低 ， 封 包 与 
封包 传送 之 间 的 等 待 时 间 (前 一 小 节 提 到 的 96 bit time) 也 会 减少 ， 就 能 够 增加 网 络 带宽 的 使 
用 鹃 ! 


为 了 这 个 目的 ， 所 以 Gigabit 的 以 太 网 络 媒体 才 有 支持 Jumbo frame i 这 个 Jumbo 
frame 一 般 都 定义 到 9000bytes。 那 你 会 说 ， 既 然 如 此 ， 我 们 的 MTU 能 不 能 改 成 9000bytes 
呢 ? 这 样 一 来 不 就 能 够 减少 数据 封包 的 拆 解 ， 以 增加 网 络 使 用 率 吗 ? aa ， 而 且 ， 你 
也 确实 可 以 在 Linux 系统 上 更 改 MTU 的 ! 但 是 ， 如 果 考 虑 到 整个 网 络 ， 那 么 我 们 不 建议 你 修 
改 这 个 数值 。 为 什么 呢 ? 


我 们 的 封包 总 是 需要 在 Internet 上 面 跑 吧 ? 你 无 法 确认 所 有 的 网 络 媒体 都 是 支持 那么 大 的 
MTU 对 吧 ! 如 果 你 的 9000 bytes 封包 通过 一 个 不 支持 Jumbo frame 的 网 络 媒体 时 ， 好 一 点 
的 是 该 网 络 媒体 (例如 switch/router 等 ) 会 主动 的 帮 你 重组 而 进行 传送 ， 差 一 点 的 可 能 就 直接 
回报 这 个 封包 无 效 而 丢弃 了 ~ 这 个 时 候 可 就 煌 大 哆 一 所 以 ，MTU 设 定 为 9000 这 种 事情 ， 大 
概 仅 能 在 内 部 网 络 的 环境 中 作 一 举例 来 说 ， 很 多 的 内 部 从 集 系统 (cluster) 就 将 他 们 的 内 部 网 
络 环境 MTU 设 定 为 9000， 但 是 对 外 的 适 配 卡 可 还 是 原本 的 标准 1500 喔 1 ^ 人 和 ^ 


也 就 是 说 ， 不 论 你 的 网 络 媒体 支持 MTU 到 多 大 ， 你 必须 要 考虑 到 你 的 封包 需要 传 到 目的 地 
时 ， 所 需要 经 过 的 所 有 网 络 媒体 ， 然 后 再 来 决定 你 的 MTU 设 定 才 行 。 就 因为 这 样 ， 我 们 才 
不 建议 你 修改 标准 以 太 网 络 的 MTU 嘛 ! 


是 早期 某 些 网 络 媒体 (例如 IP 分 享 器 ) 802.2, 802.3 标准 所 组 合成 的 MAC 封 

， 它 的 MTU 就 是 1492 ， 而 且 这 些 设备 可 能 不 会 进行 封包 重组 ， 因 此 早期 网 络 上 面 常常 有 
本 ， 他 们 连 上 某 些 网 站 时 ， 总 是 会 联机 ee 。 但 透 过 修改 客户 端的 MTU 成 为 
1492 之 后 ， 上 网 就 没有 问题 了 。 原 因 是 什么 呢 ? 读 完 上 头 的 数据 ， 您 应 该 能 理解 了 吧 ?和 ^ ^ 


2.2.6 集线器 、 交 换 器 与 相关 机 制 
@ 共享 很 重要 ， 集 线 县 器 还 “是 交换 器 { ? ( 注 11) 


刚刚 我 们 上 面 提 到 了 ， 当 一 个 很 忙 原 的 网 络 在 运作 时 ， 集 线 器 (hub) 这 个 网 络 共享 媒体 就 
可 能 会 发 生 碰撞 的 情况 ， 这 是 因为 CSMA/CD 的 缘故 。 那 有 没有 办 法 避免 这 种 莫名 其 妙 
的 封包 碰撞 情况 呢 ? 有 的 ， 那 就 使 用 非 共 享 媒体 的 交换 器 即 可 啊 | 


交换 器 (switch) 等 级 非常 多 ， 我 们 这 里 仅 探 讨 支持 OS| 第 二 层 的 交换 器 。 交 换 器 与 集 线 
器 最 大 的 差异 ， 在 于 交换 器 内 有 一 个 特别 的 内 存 ， 这 个 内 存 可 以 记录 每 个 switch port 与 
其 连接 的 PC 的 MAC 地 址 ， 所 以 ， 当 来 自 switch 两 端的 PC 要 互 传 数 据 时 ， 每 个 讯 框 

将 直接 透 过 交换 器 的 内 存 数据 而 传送 到 目标 主机 上 | 所 以 switch 不 是 共享 媒体 ， 且 
switch 的 每 个 埠 口 (port) 都 具有 独立 的 带宽 喔 ! 


举例 来 说 ，10/100 的 Hub 上 链接 5 部 主机 ， 那 么 整个 10/100Mbps 是 分 给 这 五 部 主机 
的 ， 所 以 这 五 部 主机 总 共 只 能 使 用 10/100Mbps 而 已 。 那 如 果 是 Switch 呢 ? 由 于 『 每 个 
port 都 具有 10/100Mbps 的 带宽 4 ， 所 以 就 看 你 当时 的 传输 行为 是 如 何 哩 | 举例 来 说 ， 
如 果 是 底下 的 状况 时 ， 每 个 联机 都 是 10/100 Mbps 的 。 





图 2.2-5、 交 换 器 每 


个 埠 口 的 带宽 使 用 示意 图 


人 A 传送 到 口 与 B 传送 到 C 都 独自 拥有 10/100Mbps 的 带宽 ， 两 边 并 不 会 互相 影响 |! 不 
过 ， 如 果 是 人 与 D 都 传 给 C 时 ， 由 于 C port 就 公有 10/100Mbps ， 等 于 人 A 与 D 都 需要 
抢 C 节点 的 10/100Mbps 来 用 的 意思 。 总之， 你 就 是 得 要 记得 的 是 ，switch 已 经 克服 了 
封包 碰撞 的 问题 ， 因 为 他 有 个 switch port 对 应 MAC 的 相关 功能 ， 所 以 switch 并 非 共 享 
媒体 喔 ! 同时 需要 记得 的 是 ， 现 在 的 Switch 规格 很 多 ， 在 选 购 的 时 候 ， 千 万 记得 选 购 可 
以 支持 全 双 工 / 半 双 工 ， 以 及 支持 Jumbo frame 的 为 佳 ! 


。 什么 是 全 双 工 / 半 双 工 (full-duplex, half-duplex) 


前 面谈 到 网 络 线 时 ， 我 们 知道 入 蕊 的 网 络 线 实际 上 仅 有 两 对 被 使 用 ， 一 对 是 用 在 传送 ， 
另 一 对 则 是 在 接收 。 如 果 两 端的 PC 同时 支持 全 双 工 时 ， 那 表示 Input/Output 均 可 达到 
10/100Mbps ， 亦 即 数据 的 传送 与 接收 同时 均 可 达到 10/100bps 的 意思 ， 总 带宽 则 可 达 
到 20/200Mbps 哆 (其 实 是 有 点 语 病 的 ， 因 为 Input 可 达 10/100Mbps ，output 可 达 
10/100Mbps ， 而 不 是 Input 可 直接 达到 20/200Mbps 吗 ! ) 如 果 你 的 网 络 环境 想 要 达到 
全 双 工 时 ， 使 用 共享 媒体 的 Hub 是 不 可 能 的 ， 因 为 网 络 线 脚 位 的 关系 ， 无 法 使 用 共享 媒 
体 来 达到 全 双 工 的 ! 如 果 你 的 switch 也 支持 全 双 工 模式 ， 那 么 在 switch 两 端的 PC 才能 
达到 全 双 工 喔 | 


e 自动 协调 速度 机 制 (auto-negotiation) : 


我 们 都 知道 现在 的 以 太 网 络 卡 是 可 以 向 下 支持 的 ， 亦 即 是 Gigabit 网 络 卡 可 以 与 早期 的 

10/100Mbps 网 络 卡 链接 而 不 会 发 生 问 题 。 但 是 ， 此 时 的 网 络 速度 是 怎样 判定 呢 ? 早期 
的 switch/hub 必须 要 手动 切换 速度 才 行 ， 新 的 hub/switch 因为 有 支持 auto-negotiation 
又 称 为 N-Way 的 功能 ， 他 可 自动 的 协调 出 最 高 的 传输 速度 来 沟通 喔 |! 如 果 有 Gigabit 与 
10/100Mbps 在 switch 上 面 ， 则 N-Way 会 先 使 用 最 高 的 速度 (gigabit) 测试 是 否 能 够 全 
部 支持 ， 如 果 不 行 的 话 ， 就 降 速 到 下 一 个 等 级 亦 即 100 Mbps 的 速度 来 运作 的 | 


自动 分 辩 网 络 线 跳 线 或 并 行 线 (Auto MDI/MDIX) : 


那么 我 们 是 否 需 要 自行 分 辨 并 行 线 与 跳 线 呢 ?不 需要 啦 ! 因为 switch 若 含有 auto 
MDI/MDIX 的 功能 时 ， 会 自动 分 辨 网 络 线 的 脚 位 来 调整 联机 的 ， 所 以 你 就 不 需要 管 你 的 
网 络 线 是 跳 线 还 是 并 行 线 嘿 ! 方便 吧 | ^ 人 和 ^ 


讯号 衰减 造成 的 问题 


由 于 电子 讯号 是 会 衰减 的 ， 所 以 当 网 络 线 过 长 导致 电子 讯号 衰减 的 情况 严重 时 ， 就 会 导 
致 联机 质量 的 不 良 了 。 因 此 ， 链 接 各 个 节点 的 网 络 线 长 度 是 有 限制 的 喔 1 不过， 一 般 来 
说 ， 现 今 的 以 太 网 络 CAT5 等 级 的 网 络 线 大 概 都 可 以 支持 到 100 公 尺 的 长 度 ， 所 以 应 该 
无 良 担 心 才 是 呐 ! 


但 是 ， 造 成 讯号 衰减 的 情况 并 非 仅 有 网 络 线 长 度 而 已 ! 如 果 你 的 网 络 线 折 得 太 严 重 (例如 
在 门 边 常 常 被 门板 压 ， 导 致 变形 ) ， 或 者 是 自行 压制 网 络 线 接头 ， 但 是 接头 部 分 的 八 蔓 蔓 
线 缠 绕 度 不 足 导 致电 磁 干 扰 严 重 ， 或 者 是 网 络 线 放 在 户外 风 吹 日 晒 导 致 脆 化 的 情况 等 
等 ， 都 会 导致 电子 讯号 传递 的 不 良 而 造成 联机 质量 恶劣 ， 此 时 常常 就 会 发 现 偶而 可 以 联 
机 、 有 时 却 又 无 法 联机 的 问题 了 ! 因此 ， 当 你 需要 针对 企业 内 部 来 架设 整体 的 网 络 时 ， 
注意 结构 化 布线 可 是 很 重要 的 喔 ! 


结构 化 布线 


所 谓 的 结构 化 布线 指 的 是 将 各 个 网 络 的 组 件 分 别 拆 开 ， 分 别 安 装 与 布置 到 企业 内 部 ， 则 
未 来 想 要 提升 网 络 硬件 等 级 或 者 是 移动 某 些 网 络 设备 时 ， 只 需要 更 动 类 似 配 线 盘 的 机 柜 
处 ， 以 及 末端 的 墙 上 预 留 孔 与 主机 设备 的 联机 就 能 够 达到 目的 了 。 例 如 底下 的 图 示 : 










在 墙 内 的 布线 


机 房 机 柜 内 的 
配 线 箱 图 2.2-6、 结 构 化 布线 简 







墙 上 预 留 孔 





在 墙 内 的 布线 需要 很 注意 ， 因 为 可 能 一 布线 完成 后 就 使 用 5-10 年 以 上 喔 ! 那 你 需要 注意 
的 仅 有 末端 墙 上 的 预 留 孔 以 及 配 线 端 部 分 。 事实 上 ， 光 是 结构 化 布线 所 需要 选择 的 网 络 
媒体 与 网 络 线 的 等 级 ， 还 有 机 柜 、 机 架 ， 以 及 美化 与 隐藏 网 络 线 的 材料 等 等 的 挑选 ， 以 
及 实际 施工 所 需要 注意 的 事项 ， 还 有 所 有 硬件 、 施 工 所 需要 注意 的 标准 规范 等 等 ， 已 经 
可 以 写 满 厚 厚 一 本 书 ， 而 鸟 哥 这 里 的 文章 旨 在 介绍 一 个 中 小 企业 内 部 主机 数量 较 少 的 环 
境 ， 所 以 仅 提 到 最 简单 的 以 一 个 或 两 个 交换 器 (swtich) 串 接 所 有 网 络 设备 的 小 型 星 形 联 


机 状态 而 已 。 


如 果 你 有 需要 相关 硬件 结构 化 布线 的 信息 ， 可 以 参考 风 信子 兄 翻译 的 『Swtich and Fast 
以 太 网 络 」 一 书 的 后 半 段 ! 至 于 网 络 上 的 高 手 吗 ? 你 可 以 前 往 酷 学 园 请 教 ZMAN 
(http://http://wordpress.morezman.com/) 大 可 喔 ! 


2.3 TCPI/IP 的 网 络 层 相关 封包 与 数据 


我 们 现在 知道 要 有 网 络 的 话 ， 必 须要 有 网 络 相 关 的 硬件 ， 而 目前 最 常见 的 网 络 硬件 接口 为 以 
太 网 络 ， 包 括 网 络 线 、 网 络 卡 、Hub/Switch 等 等 。 而 以 太 网 络 上 面 的 传输 使 用 网 络 卡 卡号 为 
A dO es at dn ees iene 
们 知道 Internet 其 实 就 是 TCP/IP 这 个 通讯 协议 的 通称 ，lnternet 是 由 InterNIC( 注 12) 所 统一 
管理 的 ， 但 其 实 他 仅 是 负责 分 配 Internet 上 面 的 IP 以 及 提供 相关 的 TCP/IP 技术 文件 而 已 。 
不 过 Internet 最 重要 的 就 是 IP 啊 ! 所以， 这 个 小 节 就 让 我 们 来 讲 讲 网 络 层 的 IP 与 路 由 吧 | 


2.3.11IP 封包 的 封装 


目前 因特网 社会 的 IP 有 两 种 版 本 ， 一 种 是 目前 使 用 最 广泛 的 |Pv4 (Internet Protocol version 
a AN RO OO ee he sn 
位 ， 预 计 在 2020 年 前 后 就 会 分 发 完毕 ， 如 此 一 来 ， 新 兴国 家 或 者 是 新 的 网 络 公 司 ， 将 没有 
网 络 可 以 使 用 。 为 了 避免 这 个 问题 发 生 ， 因 此 就 有 1Pv6 的 产生 。|Pv6 的 地 址 可 以 达到 128 
位 ， 可 以 多 出 2 的 96 次 方 倍 的 网 址 数量 ， 这 样 的 |P 数量 几乎 用 不 完 啦 ! 虽然 IPv6 具有 前 瞻 
性 ， 但 目前 主流 媒体 大 多 还 是 使 用 |Pv4 ， 因 此 本 文 主要 谈 到 的 IP 都 指 IPv4 而 言 喔 ! ( 注 13) 


我 们 在 前 一 小 节 谈 到 MAC 的 封装 ， 那 么 IP 封包 的 封装 也 得 要 来 了 解 一 下 ， 才 能 知道 IP 到 底 
是 如 何 产生 的 啊 1 IP 封包 可 以 达到 65535 bytes 这 么 大 ， 在 比 MAC 大 的 情况 下 ， 我 们 的 操 
作 系 统 会 对 IP 进行 拆 解 的 动作 。 至 于 IP 封装 的 表 头 数据 绘制 如 下 : (下 图 第 一 行为 每 个 字段 
的 bit 数 ) 


4 bits 4 bits 8 bits 3 bits 13 bits 
Version IHL Type of Service Total Length 
Identification Flags Fragmentation Offset 
Time To Live Protocol Header Checksum 


Source Address 

Destination Address 

Options Padding 
Data 


图 2.3-1、IP 封包 的 表 头 资料 


在 上 面 的 图 示 中 有 个 地 方 要 注意 ， 那 就 是 『 每 一 行 所 占用 的 位 数 为 32 bits4 ， 各 个 表 头 的 内 
容 分 别 介绍 如 下 : 


Version( 版 本 ) 宣告 这 个 IP 封包 的 版 本 ， 例 如 目前 惯用 的 还 是 |Pv4 这 个 版 本 就 在 这 里 宣 
告 。 


IHL(Internet Header Length, IP 表 头 的 长 度 ) 告知 这 个 IP 封包 的 表 头 长 度 ， 使 用 的 单位 应 
该 是 字 组 (word) ， 一 个 字 组 为 4bytes 大 小 喔 。 


Type of Service( 服 务 类 型 ) 这 个 项 目的 内 容 为 『PPPDTRUUJ ， 表 示 这 个 IP 封包 的 服务 
类 型 ， 主 要 分 为 : PPP : 表示 此 IP 封包 的 优先 度 ， 目 前 很 少 使 用 ; D : 若 为 0 表示 一 般 
延迟 (delay)， 若 为 1 表示 为 低 延 迟 ; T: 若 为 0 表示 为 一 般 传 输 量 (throughput)， 若 为 1 
表示 为 高 传输 量 ; R : 若 为 0 表示 为 一 般 可 靠 度 (reliability)， 若 为 1 表示 高 可 靠 度 。 

UU : 保留 尚未 被 使 用 。 举例 来 说 ，gigabit 以 太 网 络 的 种 种 相关 规格 可 以 让 这 个 IP 封包 
加 速 且 降 低 延 迟 ， 某 些 特殊 的 标志 就 是 在 这 里 说 明 的 。 


Total Length( 总 长 度 ) 指 这 个 IP 封包 的 总 容量 ， 包 括 表 头 与 内 容 (Data) 部 分 。 最 大 可 达 
65535 bytes。 


Identification( 辨 别 码 ) 我 们 前 面 提 到 IP 袋子 必须 要 放 在 MAC 袋子 当中 。 不 过 ， 如 果 IP 
袋子 太 大 的 话 ， 就 得 先 要 将 IP 再 重组 成 较 小 的 袋子 然后 再 放 到 MAC 当中 。 而 当 |P 被 重 
组 时 ， 每 个 来 自 同 一 个 IP 的 小 袋子 就 得 要 有 个 标识 符 以 告知 接收 端 这 些小 袋子 其 实 是 来 
自 同一 个 IP 封包 才 行 。 也 就 是 说 ， 假 如 IP 封包 其 实 是 65536 那么 大 (前 一 个 Total 
Length 有 规定 )， 那 么 这 个 IP 就 得 要 再 被 分 成 更 小 的 IP 分 段 后 才能 塞 进 MAC 讯 框 中 。 
那么 每 个 小 IP 分 段 是 否 来 自 同 一 个 IP 资料 ， 呵 呵 ! 那 就 是 这 个 标识 符 的 功用 啦 ! 


Flags( 特 珠 旗 标 ) 这 个 地 方 的 内 容 为 『0DMJ ， 其 意义 为 : D : 若 为 0 表示 可 以 分 段 ， 若 
为 1 表示 不 可 分 段 M : 若 为 0 表示 此 IP 为 最 后 分 段 ， 若 为 1 表示 非 最 后 分 段 。 


Fragment Offset( 分 段 偏 移 ) 表示 目前 这 个 IP 分 段 在 原始 的 IP 封包 中 所 占 的 位 置 。 就 有 
点 像 是 序号 啦 ， 有 这 个 序号 才能 将 所 有 的 小 IP 分 段 组 合成 为 原本 的 上 封包 大 小 嘛 1 透 
过 Total Length, Identification, Flags 以 及 这 个 Fragment Offset 就 能 够 将 小 IP 分 段 在 收 
受 端 组 合 起 来 虽 ! 


Time To Live(TTL, 存活 时 间 ) 表示 这 个 IP 封包 的 存活 时 间 ， 范 围 为 0-255。 当 这 个 IP 封 
包 通过 一 个 路 由 器 时 ，TTL 就 会 减 一 ， 当 TTL 为 0 时 ， 这 个 封包 将 会 被 直接 丢弃 。 说 实 
在 的 ， 要 让 IP 封包 通过 255 个 路 由 器 ， 还 手 难 的 ~ 个 人 ^ 

Protocol Number( 协 定 代码 ) 来 自传 输 层 与 网 络 层 本 身 的 其 他 数据 都 是 放置 在 IP 封包 当中 
的 ， 我 们 可 以 在 IP 表 头 记载 这 个 IP 封包 内 的 资料 是 啥 ， 在 这 个 字段 就 是 记载 每 种 数据 
封包 的 内 容 啦 ! 在 这 个 字段 记载 的 代码 与 相关 的 封包 协议 名 称 如 下 所 示 : 


IP 内 的 号 码 | 封包 协议 名 称 (全 名 ) | 
= | | 
1 | ICMP (Internet Control Message Protocol) | 
2 | IGMP (Internet Group Management Protocol) | 
3 | GGP (Gateway-to-Gateway Protocol) | 

4 | IP (IP in IP encapsulation) | 

6 | TCP (Transmission Control Protocol) | 

8 | EGP (Exterior Gateway Protocol) | 

17 | UDP (User Datagram Protocol) | 


当然 啦 ， 我 们 比较 常见 到 的 还 是 那个 TCP UDP ICMP 说 ! 
。 Header Checksum( 表 头 检查 码 ) 用 来 检查 这 个 IP 表 头 的 错误 检验 之 用 。 


e。 Source Address 还 用 讲 吗 ? 当然 是 来 源 的 IP 地 址 ， 从 这 里 我 们 也 知道 IP 是 32 位 喔 ! 


e。 Destination Address 有 来 源 还 需要 有 目标 才能 这 里 就 是 目标 的 IP 地 址 。 
。 Options (其 他 参数 ) 这 个 是 额外 的 功能 ， 提 供 包 括 安全 处 理 机 制 、 路 由 纪录 、 时 间 玲 、 严 


格 与 ee 。 


。 Padding( 补 齐 项 目 ) 由 于 Options 的 内 容 不 一 定 有 多 大 ， 但 是 我 们 知道 IP 每 个 数据 都 必 
须要 是 32 bits， 所 以 ， 若 Options 的 数据 不 足 32 bits 时 ， 则 由 padding 主动 补 齐 。 


你 只 要 知道 IP 表 头 里 面 含 有 : TTL, Protocol, 来 源 地 址 与 目标 地 址 也 就 够 了 | 而 这 个 IP 表 头 
的 来 源 与 目标 IP ， 以 及 那个 判断 通过 多 少 路 由 器 的 TTL ， 就 能 了 解 到 这 个 IP 将 被 如 何 传送 
到 目的 端 呐 。 后 续 各 小 节 我 们 将 介绍 IP 的 组 成 与 范围 ， 还 有 IP 封包 如 何 传送 的 机 制 (路 由 ) 


大 后 大 后 


等 等 。 


2.3.2 IP 地 址 的 组 成 与 分 级 


现在 我 们 知道 IP (Internet Protocol) 其 实 是 一 种 网 络 封包 ， 而 这 个 封包 的 表 头 最 重要 的 就 是 那 
个 32 位 的 来 源 与 目标 地 址 上 为 了 方便 记忆 ， 所 以 我 们 也 称 这 个 32 bits 的 数值 为 IP 网 络 地 址 
就 是 了 。 因 为 eh 的 ， 所 以 很 多 概念 与 邮 务 系统 类 似 ! 那 这 个 IP 其 实 就 类 似 所 谓 
的 『 门 牌号 码 」 啦 1 那么 这 个 IP 有 哪些 重要 的 地 方 需要 了 解 的 呢 ? 底下 我 们 就 来 谈 一 谈 吧 ! 


既然 IP 的 组 成 是 32 bits 的 数值 ， 也 就 是 由 32 个 0 与 1 组 成 的 一 连 串 数字 |! 那么 当 我 们 思 
所 有 跟 IP 有 关 的 参数 时 ， 你 就 应 该 要 将 该 参数 想 成 是 32 位 的 数据 喔 1 不 过 ， 因 为 人 类 对 于 
二 进 制 实在 是 不 怎么 熟悉 ， 所 以 为 了 顺应 人 们 对 于 十 进 制 的 依赖 性 ， 因 此 ， 就 将 32 bits 的 IP 
分 成 四 小 段 ， 每 段 含 有 8 个 bits， 将 8 个 bits 计算 成 为 十 进 制 ， 并 且 每 一 段 中 间 以 小 数 点 隔 
开 ， 那 就 成 了 目前 大 家 所 熟悉 的 IP 的 书写 模样 了 。 如 下 所 示 : 

IP 的 表示 式 : 


00000000 .00000000 .00000000 .00000000 ==&gt; 0.0.0.0 
el dl ==&gt; 255.255.255.255 


所 以 IP 最 小 可 以 由 0.0.0.0 一 直到 255.255.255.255 哩 ! 但 在 这 一 串 数字 中 ， 其 实 还 可 以 分 
为 两 个 部 分 喔 ! 主要 分 为 Net ID (网 域 号 码 ) 与 Host ID (主机 号 码 ) 两 部 份 。 我 们 先 以 
192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 当 作 例子 来 说 明 好 了 : 


192.168.0.0~192.168.0.255 这 个 Class C 的 说 明 : 
110000609.10101000.00000000.00000000 
11000060.10101000.00000060.11111111 
le Net TD &#124; -host--&#124; 


在 上 面 的 范例 当中 ， 前 面 三 组 数字 (192.168.0) 就 是 网 域 号 码 ， 最 后 面 一 组 数字 则 称 为 主机 号 
码 。 至 于 同一 个 网 域 的 定义 是 『 在 同一 个 物理 网 段 内 ， 主 机 的 IP 具有 相同 的 Net ID ， 并 且 
具有 独特 的 Host_IDJ4 ， 那 么 这 些 IP 群 就 是 同一 个 网 域内 的 IP 网 段 啦 ! 


Tips: 什么 是 物理 网 段 呢 ? 当 所 有 的 主机 都 是 使 用 同一 个 网 络 媒体 串 在 一 起 ， 这 个 时 候 这 些 主 
机 在 实体 装置 上 面 其 实 是 联机 在 一 起 的 ， 那 么 就 可 以 称 为 这 些 主机 在 同一 个 物理 网 段 内 了 |! 
同时 并 请 注意 ， 同 一 个 物理 网 段 之 内 ， 可 以 依据 不 同 的 |P 的 设 定 ， 而 设 定 成 多 个 『IP 网 段 J 


上 面 例子 当中 的 192.168.0.0, 192.168.0.1, 192.168.0.2, …, 192.168.0.255 ( 共 256 个 ) 这 些 
IP 就 是 同一 个 网 域内 的 IP 群 (同一 个 网 域 也 称 为 同一 个 网 段 ! )， 请 注意 ， 同 一 个 Net_ID 

内 ， 不 能 具有 相同 的 Host_ID ， 否 则 就 会 发 生 IP 冲突 ， 可 能 会 造成 两 部 主机 都 没有 办 法 使 用 
网 络 的 问题 ! 


。|IP 在 同一 网 域 的 意义 
那么 同一 个 网 域 该 怎么 设 定 ， 与 将 IP 设 定 在 同一 个 网 域 之 内 有 什么 好 处 呢 ? 


。 Net ID 与 Host ID 的 限制 : 在 同一 个 网 段 内 ，Net ID 是 不 变 的 ， 而 Host ID 则 是 不 可 
重复 ， 此 外 ，Host ID 在 二 进 制 的 表示 法 当中 ， 不 可 同时 为 0 也 不 可 同时 为 1 ， 因 为 全 
为 0 表示 整个 网 段 的 地 址 (Network IP)， 而 全 为 1 则 表示 为 广播 的 地 址 (Broadcast IP) 。 
例如 上 面 的 例子 当中 ，192.168.0.0 (Host ID 全 部 为 0) 以 及 192.168.0.255 (Host ID 全 
部 为 1) 不 可 用 来 作为 网 段 内 主机 的 IP 设 定 ， 也 就 是 说 ， 这 个 网 段 内 可 用 来 设 定 主机 的 
IP 是 由 192.168.0.1 到 192.168.0.254 ; 


在 区 网 内 透 过 IP 广播 传递 数据 在 同 物理 网 段 的 主机 如 果 设 定 相同 的 网 域 IP 范围 (不 可 重 
复 )， 则 这 些 主机 都 可 以 透 过 CSMA/CD 的 功能 直接 在 区 网 内 用 广播 进行 网 络 的 联机 ， 亦 
即 可 以 直接 网 卡 对 网 卡 传递 数据 ( 透 过 MAC 讯 框 ) ; 


。 设 定 不 同 区 网 在 同 物理 网 段 的 情况 在 同一 个 物理 网 段 之 内 ， 如 果 两 部 主机 设 定 成 不 同 的 
IP 网 段 ， 则 由 于 广播 地 址 的 不 同 ， 导 致 无 法 透 过 广播 的 方式 来 进行 联机 。 此 时 得 要 透 过 
路 由 器 (router) 来 进行 沟通 才能 将 两 个 网 域 连结 在 一 起 。 


e 网 域 的 大 小 当 Host ID 所 占用 的 位 越 大 ， 亦 即 Host ID 数量 越 多 时 ， 表 示 同 一 个 网 域内 
可 用 以 设 定 主机 的 |P 数量 越 多 。 


所 以 说 ， 贵 单位 公司 内 的 计算 机 群 ， 或 者 是 你 宿舍 或 家 里 面 的 所 有 计算 机 ， 当 然 都 设 定 在 同 
一 个 网 域内 是 最 方便 的 ， 因 为 如 此 一 来 每 一 部 计算 机 都 可 以 直接 透 过 MAC 来 进行 数据 的 交 
流 ， 而 不 必 经 由 Router (路 由 器 ) 来 进行 封包 的 转 递 呢 ! (Router 这 部 份 在 第 八 章 才 会 提 及 )。 


e |P 与 门牌 号 码 的 联想 


刚 接 触 到 IP 组 成 的 朋友 都 很 困扰 ， 又 分 啥 网 域 号 码 与 主机 号 码 ， 烦 死 了 ! 其 实 ， 你 不 用 烦恼 
啊 ! 使 用 门牌 号 码 的 概念 来 想 即 可 。 既然 IP 是 门牌 ， 那 拿 我 们 昆山 科技 大 学 的 门牌 来 说 好 
了 ， 我 们 的 门牌 是 : 『 台 南 市 永康 区 大 湾 路 949 号 」， 假 设 整个 大 湾 路 是 同一 个 埠 弄 ， 那 么 
我 们 这 个 门牌 的 网 域 号 码 『 人 台南 市 永康 区 大 湾 路 」 而 我 的 主机 号 码 就 是 上 949 号 4」 ， 那 么 整 
条 大 湾 路 上 面 只 要 是 开头 为 『 人 台南 市 永康 区 大 湾 路 」 的 ， 就 是 跟 我 们 同一 个 网 域 嚼 ! 当然 
啦 ， 门 牌号 码 不 可 能 有 第 二 个 949 号 啊 | 这 样 理解 否 ? 


另外 ，Host ID 全 为 0 与 全 为 1 (二 进 制 的 概念 ) 时 ， 代 表 整 条 巷子 的 第 一 个 与 最 后 一 个 门 

有 牌 ， 而 第 一 个 门牌 我 们 让 他 代表 整 条 夫子 ， 所 以 又 称 为 Network IP， 就 是 巷子 口 那个 XXX 
埠 的 立 牌 啦 ! 至 于 最 后 一 个 IP ， 则 代表 埠 子 尾 ， 亦 即 本 条 巷子 的 最 后 一 个 门牌 ， 那 就 是 我 们 
在 埠 子 内 广播 时 的 最 后 一 个 IP， 又 称 为 Broadcast IP 的 嘿 。 


在 我 们 这 个 巷子 内 ， 我 们 可 以 透 过 大 声 公用 广播 的 方式 跟 大 家 沟通 讯息 ， 例 如 前 几 年 很 热门 
的 张 君 雅 小 妹妹 的 泡 面 广告 ， 在 埠 子 内 透 过 广播 告诉 张 君 雅 小 妹妹 ， 你 阿 暴 将 泡 面 者 好 了 ， 
赶快 回 家 吃 面 去 ! 那 如 果 不 是 张 君 雅 小 妹妹 呢 ?就 将 该 讯息 略 过 啊 ! 这 样 有 没有 联想 到 
CSMA/CD 的 概念 呢 ? 


那 如 果 你 的 数据 不 是 要 给 本 巷子 内 的 门牌 呢 ? 此 时 你 就 得 要 将 资料 拿 给 巷子 内 的 邮局 (路 由 
器 )， 由 邮局 帮 你 传送 ， 你 只 要 知道 埠 子 内 的 那 间 邮 局 在 哪里 即 可 ， 其 他 的 就 让 邮局 自己 帮 你 
把 信件 传 出 去 即 可 啊 ! 这 就 是 整个 区 网 与 门牌 对 应 的 想法 ! 这 样 有 没有 比较 清晰 啊 ? 


e IP 的 分 级 

你 应 该 要 想到 一 个 问题 ， 那 就 是 我 的 总 门牌 『 人 台南 市 永康 区 大 湾 路 949 号 」 中 ， 到 哪里 是 埠 
子 而 到 哪里 是 门牌 ? 如 果 到 『 台 南 市 」 是 塌 子 ， 那 么 我 的 门牌 将 有 好 多 乡镇 的 组 成 ， 如 果 埠 
子 号 码 到 『 人 台南 市 永康 区 4 时， 那么 我 们 的 门牌 就 又 少 了 点 。 所 以 说 ， 这 个 『 埠 子 」 的 大 

小 ， 将 会 影响 到 我 们 主机 号 码 的 数量 ! 

为 了 解决 这 个 问题 ， 以 及 为 了 IP 管理 与 发 放 注册 的 方便 性 ，lnterNIC 将 整个 IP 网 段 分 为 五 
种 等 级 ， 每 种 等 级 的 范围 主要 与 IP 那 32 bits 数值 的 前 面 几 个 位 有 关 ， 基 本 定义 如 下 : 


以 二 进 制 说 明 Network 第 一 个 数字 的 定义 : 


Class A : Oxxxxxxx.xXxxxxxxx.xXxxxxxxx.xxxxxxxx ==&gt; NetI_D 的 开头 是 0 
&#124;--nNnet--&#124;--------- host------------ &#124; 

Class B : 10xxxxxx.xXxxxxxxx.xXxxxxxxx.xxxxxxxx ==&gt; NetI_D 的 开头 是 10 
&#124;------ net------- &#124;------ host------ &#124; 

Class C : 110xxxxx.xXxxxxxxx.xXxxxxxxx.xxxxxxxx ==&gt; NetI_D 的 开头 是 110 
&#124;----------- net----------- &#124; -host--&#124; 

Class D : 1110xxxx.xXxxxxxxx.xXxxxxxxx.xxxxxxxx ==&gt; NetI_D 的 开头 是 1110 

Class E : 1111xxxx.xXxxxxxxx.xXxxxxxxx.xxxxxxxx ==&gt; NetI_D 的 开头 是 1111 

五 种 分 级 在 十 进 制 的 表示 : 

Class A : 909.XX.XX.XX ~ 127.XX,.XX.XX 

Class B : 128.XX,.XX,.XX ~ 191.XX,XX.XX 

Class C : 192,.XX,.XX,.XX ~ 223.XX,XX.XX 

Class D : 224.XX,.XX,.XX ~ 239.XX,XX.XX 

Class E : 240.xx.xXxX.xXx ~ 255.XX,XX.XX 


根据 上 表 的 说 明 ， 我 们 可 以 知道 ， 你 只 要 知道 IP 的 第 一 个 十 进 制 数 ， 就 能 够 约略 了 解 到 该 IP 
属于 哪 一 个 等 级 ， 以 及 同 网 域 IP 数量 有 多 少 。 这 也 是 为 啥 我 们 上 头 选 了 192.168.0.0 这 一 IP 
网 段 来 说 明 时 ， 会 将 埠 子 定义 到 第 三 个 数字 之 故 。 不 过 ， 上 表 中 你 只 要 记忆 三 种 等 级 ， 亦 即 
是 Class A, B,C 即 可 ， 因 为 Class D 是 用 来 作为 群 播 (multicast) 的 特殊 功能 之 用 (最 常用 在 
大 批 计 算 机 的 网 络 还 原 )， 至 于 ClassE 则 是 保留 没有 使 用 的 网 段 。 因 此 ， 能 够 用 来 设 定 在 一 
般 系 统 上 面 的 ， 就 只 有 Class A, B, C 三 种 等 级 的 IP 哆 1! 


2.3.3 IP 的 种 类 与 取得 方式 


接 下 来 要 跟 大 家 谈 一 谈 也 是 很 容易 造成 大 家 困扰 的 一 个 部 分 ， 那 就 是 IP 的 种 类 |! 很 多 朋友 常 
常 听 到 什么 『 瘟 实 IP 实体 IP 虚拟 IP 假 的 1P...」 烦 都 烦 死 了 一 其 实 不 要 太 紧 张 啦 | 实际 上 ， 
在 IPv4 里 面 就 只 有 两 种 IP 的 类 别 ， 分 别 是 : 


。 Public IP : 公共 IP ， 经 由 INTERNIC 所 统一 规划 的 IP， 有 这 种 IP 才 可 以 连 上 Internet 
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。 Private IP : 私有 IP 或 保留 I|P， 不 能 直接 连 上 Internet 的 IP ， 主 要 用 于 局 域 网 络 内 的 主 
机 联机 规划 。 


早 在 IPv4 规划 的 时 候 就 担心 IP 会 有 不 足 的 情况 ， 而 且 为 了 应 付 某 些 企业 内 部 的 网 络 设 定 ， 
于 是 就 有 了 私有 IP (Private IP) 的 产生 了 。 私 有 IP 也 分 别 在 A,B, C 三 个 Class 当中 各 保留 
一 段 作为 私有 |P 网 段 ， 那 就 是 : 


。 ClassA : 10.0.0.0 - 10.255.255.255 
。 ClassB : 172.16.0.0 - 172.31.255.255 
。 Class C : 192.168.0.0 - 192.168.255.255 


由 于 这 三 段 Class 的 IP 是 预 留 使 用 的 ， 所 以 并 不 能 直接 作为 Internet 上 面 的 连接 之 用 ， 不 然 
的 话 ， 到 处 就 都 有 相同 的 IP 哆 ! 那 怎么 行 !1 网 络 岂 不 混乱 ?所 以 嚼 ， 这 三 个 IP 网 段 就 只 做 
为 内 部 私有 网 域 的 |P 沟通 之 用 。 简 单 的 说 ， 他 有 底下 的 几 个 限制 : 


网 络 
e 使 用 私有 IP 作为 来 源 或 目的 地 址 的 封包 ， 不 能 透 过 Internet 来 转送 (不 然 网 络 会 混乱 ) ; 


。 私有 人 IP 的 路 由 信息 不 能 对 外 散播 (只 能 存在 内 部 网 络 ) ; 
能 
e 关于 私有 |P 的 参考 纪录 (如 DNS)， 只 能 限于 内 部 网 络 使 用 (一 样 的 原理 啦 ) 


这 个 私有 IP 有 什么 好 处 呢 ? 由 于 他 的 私有 路 由 不 能 对 外 直接 提供 信息 ， 所 以 ， 你 的 内 部 网 络 
将 不 会 直接 被 Internet 上 面 的 Cracker 所 攻击 ! 但 是 ， 你 也 就 无 法 以 私有 |IP 来 了 直接 上 网 4 
史 ! 因此 相当 适合 一 些 尚 未 具有 Public IP 的 企业 内 部 用 来 规划 其 网 络 之 设 定 ! 否则 na 
间 定 一 些 可 能 是 Public IP 的 网 段 来 规划 你 企业 内 部 的 网 络 设 定时 ， 万 一 哪 一 天 丨 的 连 

Internet 了 ， 那 么 岂 不 是 可 能 会 造成 跟 Internet 上 面 的 Public IP 相同 了 吗 ? 


此 外 ， 在 没有 可 用 的 公开 网 络 情况 下 ， 如 果 你 想 要 跟 同 学 玩 联机 游戏 怎 办 ? 也 就 是 说 ， 在 区 
网 内 自己 玩 自己 的 联机 游戏 ， 此 时 你 只 要 规范 好 所 有 同学 在 同一 段 私 有 1IP 网 段 中 ， 就 能 够 顺 
利 的 玩 你 的 网 络 啦 | 就 这 么 简单 呢 | 


那么 万 一 你 又 要 将 这 些 私有 IP 送 上 Internet 呢 ? 这 个 简单 ， 设 定 一 个 简单 的 防火 墙 加 上 NAT 
(Network Address Transfen) 服务 ， 你 就 可 以 透 过 |P 1 (不 要 急 ， 这 个 在 后 面 也 会 提 到 ) 来 
使 你 的 私有 IP 的 计算 机 也 可 以 连 上 Internet " 罗 ! 


。 特殊 的 |oopback IP 网 段 


好 了 ， 那 么 除了 这 个 预 留 的 IP 网 段 的 问题 之 外 ， 还 有 没有 什么 其 他 的 怪 东 西 呢 ?当然 是 有 
啦 ! 不然 鸟 哥 干 嘛 花 时 间 来 绑 XX 呢 ? 没 错 ， 还 有 一 个 奇怪 的 Class A 的 网 域 ， 那 就 是 lo 这 
个 奇怪 的 网 域 啦 (注意 : 是 小 写 的 o 而 不 是 零 喔 ) ! 这 个 lo 的 网 络 是 当初 被 用 来 作为 测试 操作 
系统 内 部 循环 所 用 的 一 个 网 域 ， 同 时 也 能 够 提供 给 系统 内 部 原本 就 需要 使 用 网 络 接口 的 服务 
(daemon) 所 使 用 。 


简单 的 说 ， 如 果 你 没有 安装 网 络 卡 在 的 机 器 上 面 ， 但 是 你 又 希望 可 以 测试 一 下 在 你 的 机 器 

面 设 定 的 服务 器 环境 到 底 可 不 可 以 顺利 运作 ， 这 个 时 候 怎 么 办 ， 嘿 嘿 1 就 是 利用 这 个 所 谓 
内 部 循环 网 络 啦 |! 这 个 网 段 在 127.0.0.0/8 这 个 Class 和， 而 且 上 默认 的 主机 (localhost) 的 IP 是 
127.0.0.1 哟 【所 以 嘿 ， 当 你 启动 了 你 的 WWW 服务 器 ， 然 后 在 你 的 主机 的 X-Window 上 面 执 
行 http://localhost 就 可 以 直接 看 到 你 的 主页 嘿 ! 而 且 不 需要 安装 网 络 卡 呢 ! 测试 很 方便 吧 ! 


此 外 ， 你 的 内 部 使 用 的 mail 怎么 运送 邮件 呢 ? 例如 你 的 主机 系统 如 何 mail 给 root 这 个 人 
呢 ?嘿嘿 ! 也 就 是 使 用 这 一 个 内 部 循环 啦 ! 当 要 测试 你 的 TCP/IP 封包 与 状态 是 否 正常 时 ， 可 
以 使 用 这 个 哟 ! (所 以 哪 一 天 有 人 问 你 嘿 ! 你 的 主机 上 面 没 有 网 络 卡 ， 那 么 你 可 以 测试 你 的 
WWW 服务 器 设 定 是 否 正 确 吗 ? 这 个 时 候 可 得 回答 : 当然 可 以 哩 1! 使 用 127.0.0.1 这 个 
Address 呀 ! ^ ^) 


。 IP 的 取得 方式 


谈 完 了 IP 的 种 类 与 等 级 还 有 相关 的 子 域 概念 后 ， 接 下 来 我 们 得 来 了 解 一 下 ， 那 么 主机 的 IP 
是 如 何 设 定 的 呢 ? 基本 上 ， 主 机 的 IP 与 相关 网 域 的 设 定 方式 主要 有 : 


。 直接 手动 设 定 (static) : 你 可 以 直接 向 你 的 网 管 询问 可 用 的 |P 相关 参数 ， 然 后 直接 编辑 配 
置 文件 (或 使 用 某 些 软件 功能 ) 来 设 定 你 的 网 络 。 常 见于 校园 网 络 的 环境 中 ， 以 及 向 ISP 
申请 国定 IP 的 联机 环境 ; 


。 透 过 拨 接 取得 : 向 你 的 |SP 申请 注册 ， 取 得 账号 密码 后 ， 直 接 拨 接 到 1ISP， 你 的 1SP 会 
迁 过 他 们 自己 的 i A 
辑 与 设 定 相关 的 网 络 参数 啦 。 目 前 台湾 的 ADSL 拨 接 、 光 纤 到 大 楼 、 光 纤 到 府 等 ， 大 部 
分 都 是 使 用 拨 接 的 方式 。 为 因应 用 户 的 需求 ， 某 些 |SP 也 提供 很 多 不 同 的 IP 分 配 机 制 。 

包括 hinet, seednet 等 等 都 有 提供 ADSL 拨 接 后 取得 固定 IP 的 方式 喔 1 详情 请 向 你 的 
ISP 洽 询 。 


e 自动 取得 网 络 参数 (DHCP) : 在 局 域 网 络 内 会 有 一 部 主机 负责 管理 所 有 计算 机 的 网 络 参 
数 ， 你 的 网 络 启 动 时 就 会 主动 向 该 服务 器 要 求 IP 参数 ， 若 取得 网 络 相 关 参 数 后 ， 你 的 主 
机 就 能 够 自行 设 定 好 所 有 服务 器 给 你 的 网 络 参数 了 。 最 常 使 用 于 企业 内 部 、IP 分 享 器 后 
端 、 校 园 网 络 与 宿舍 环境 ， 及 绕 线 宽带 等 联机 方式 。 


管 是 使 用 上 面 哪 种 方式 取得 的 IP ， 你 的 IP 都 只 有 所 谓 的 『 Public 与 Private IP J 而 已 ! 

其 他 什么 浮动 式 、 固 定制 、 动 态 式 等 等 有 的 没有 的 ， 就 只 是 告诉 你 这 个 IP 取得 的 方式 而 

已 。 举 例 来 说 ， 台 湾 地 区 ADSL 拨 接 后 取得 的 IP 通常 是 public IP， 但 是 鸟 哥 曾 接 到 香港 网 
友 的 来 信 ， 他 们 ADSL 拨 接 后 ， 取 得 的 IP 是 Private ， 所 以 导致 无 法 架设 网 站 喔 ! 


2.3.4 Netmask, 子 网 与 CIDR (Classless Interdomain 
Routing) 


我 们 前 面谈 到 IP 是 有 等 级 的 ， 而 设 定 在 一 般 计 算 机 系统 上 面 的 则 是 Class A, B, C。 现 在 我 们 
来 想 一 想 ， 如 果 我 们 设 定 一 个 区 网 ， 使 用 的 是 Class A， 那 么 我 们 很 容易 就 会 想到 ， 哪 有 这 

么 多 计算 机 可 以 设 定 在 同一 个 Class A 的 区 段 内 (256x256x256-2=16777214) ? 而 有 全， 假设 
真有 这 么 多 计算 机 好 了 ， 回 想 一 下 CSMA/CD 吧 ， 你 的 网 络 恐 怕 会 一 直 非 常 停顿 ， 因 为 你 得 
要 接 到 一 千 多 万 台 计 算 机 对 你 的 广播 ... 光 是 想到 一 千 多 万 台 的 广播 ， 你 的 网 络 还 能 使 用 吗 ? 
监 没 效率 ! 


此 外 ， 分 为 Class 的 IP 等 级 ， 是 为 了 管理 方面 的 考虑 ， 事 实 上 ， 我 们 不 可 能 将 一 个 Class A 
仅 划 定 为 一 个 区 网 。 举 例 来 说 ， 我 们 昆山 取得 的 Public IP 是 120.xxx 开头 的 ， 2 
a 120.114.xxx.Xxxx 而 已 ， 并 没有 取得 整个 Class A 喔 1! 因为 我 们 学 校 也 用 不 了 这 么 多 嘛 ! 

这 个 时 候 ， 我 们 就 得 要 理解 一 下 史 ， 就 是 ， 怎 么 将 Class A 的 网 段 变 小 ? 换 甸 话说 ， ed 
何 将 网 域 切 的 更 细 呢 ?这样 不 就 可 以 分 出 更 多 段 的 区 网 给 大 家 设 定 了 ? 


前 面 我 们 提 到 IP 这 个 32 位 的 数值 中 分 为 网 域 号 码 与 主机 号 码 ， 其 中 Class C 的 网 域 号 码 占 
了 24 位 ， 而 其 实 我 们 还 可 以 将 这 样 的 网 域 切 的 更 细 ， 就 是 让 第 一 个 Host_ID 被 拿 来 作为 
Net ID ， 所 以 ， 整 个 Net ID 就 有 25 bits ， 至 于 Host ID 则 减少 为 7bits 。 在 这 样 的 情况 


下 ， 原 来 的 一 个 Class C 的 网 域 就 可 以 被 切 分 为 两 个 子 域 ， 而 每 个 子 域 就 有 『 256/2 - 2 = 
126 J 个 可 用 的 IP 了 |! 这 样 一 来 ， 就 能 够 将 原本 的 一 个 网 域 切 为 两 个 较 细 小 的 网 域 ， 方 便 分 
门 别 类 的 设计 喔 。 


。 Netmask, 或 称 为 Subnet mask ( 子 网 掩 码 ) 


那 到 底 是 什么 参数 来 达成 子 网 的 切 分 呢 ? 那 就 是 Netmask ( 子 网 掩 码 ) 的 用 途 啦 |! 这 个 
Netmask 是 用 来 定义 出 网 域 的 最 重要 的 一 个 参数 了 | 不 过 他 也 最 难 理解 了 ~-@ @。 为 了 帮助 
大 家 比较 容易 记忆 住 Netmask 的 设 定 依据 ， 底 下 我 们 介绍 一 个 比较 容易 记忆 的 方法 。 同 样 以 
192.168.0.0 ~ 192.168.0.255 这 个 网 域 为 范例 好 了 ， 如 下 所 示 ， 这 个 IP 网 段 可 以 分 为 

Net ID 与 Host _ ID， 既然 Net ID 是 不 可 变 的 ， 那 就 假设 他 所 占据 的 bits 已 经 被 用 光 了 (全 部 
为 1)， 而 Host ID 是 可 变 的 ， 就 将 他 想 成 是 保留 着 (全 部 为 0)， 所 以 ，Netmask 的 表示 就 成 
为 : 


192.168.0.0~192.168.0.255 这 个 C Class 的 Netmask 说 明 
第 一 个 IP : 11000000.10101000.00000000.00000000 


最 后 一 个 : 11000000.10101000.00000000.11111111 &#124;---------- NelmiD &#124; -host- 
Netmask : 11111111.11111111.11111111.00000000 &lt;== Netmask 二 进 制 
255 255 9255 a 0 &lt;== Netmask 十 进 制 


特别 注意 喔 ，netmask 也 是 32 位 ， 在 数值 上 ， 位 于 Net_ID 的 为 1 而 Host_ID 为 0 





将 他 转 成 十 进 制 的 话 ， 就 成 为 『255.255.255.04 啦 ! 这 样 记 忆 简 单 多 了 吧 ! 照 这 样 的 记忆 方 
法 ， 那 么 A,B, C Class 的 Netmask 表示 就 成 为 这 样 : 


Class A，B，C 三 个 等 级 的 Netmask 表示 方式 : 

Class A : 11111111.00000000.00000000.00000000 ==&gt; 255\. 0\. 6\， 0 
Class B : 11111111.11111111.00000000.00000000 ==&gt; 255.255\. 0\. 0 
Class C : 11111111.11111111.11111111.00000000 ==&gt; 255.255.255\. 0 


所 以 说 ，192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 中 ， 他 的 Netmask 就 是 
255.255.255.0 ! 再 来 ， 我 们 刚刚 提 到 了 当 Host ID 全 部 为 0 以 及 全 部 为 1 的 时 后 该 IP 是 不 
可 以 使 用 的 ， 因 为 Host_ID 全 部 为 0 的 时 后 ， 表 示 IP 是 该 网 段 的 Network ， 至 于 全 部 为 1 
的 时 后 就 表示 该 网 段 最 后 一 个 IP ， 也 称 为 Broadcast ， 所 以 说 ， 在 192.168.0.0 ~ 
192.168.0.255 这 个 IP 网 段 里 面 的 相关 网 络 参 数 就 有 : 





Netmask: 255.255.255.0 ”&1lt;== 网 域 定义 中 ， 最 重要 的 参数 
Network: 192.168.0.0 &1t;== 第 一 个 IP 

Broadcast: 192.168.0.255 ”&lt;== 最 后 一 个 IP 

可 用 以 设 定 成 为 主机 的 IP 数 : 

192.168.0.1 ~ 192.168.0.254 


e 子 网 切 分 


好 了 ， 刚 刚 提 到 Class C 还 可 以 继续 进行 子 域 (Subnet) 的 切 分 啊 ， 以 192.168.0.0 
~192.168.0.255 这 个 情况 为 例 ， 他 要 如 何 再 细 分 为 两 个 子 域 呢 ? 我 们 已 经 知道 Host_ID 可 以 
拿 来 当 作 Net ID， 那 么 Net ID 使 用 了 25 bits 时 ， 就 会 如 下 所 示 : 


原本 的 C Class 的 Net_ID 与 Host_ID 的 分 别 


11000000.10101000.00000000.00000009 Network: 192.168.0.0 
11000060.10101000.00000060.11111111 Broadcast: 192.168.0.255 
BHD NEteTD &#124; -host- -&#124; 


切 成 两 个 子 网 之 后 的 Net_ID 与 Host_ID 为 何 ? 


11000060.101061000.000006060.0 006006060 多 了 一 个 Net_ID 了 ， 为 9 (第 一 个 子 网 ) 
11000060.101061000.000006060.1 09600009 多 了 一 个 Net_ID 了 ， 为 1 (第 二 个 子 网 ) 
RT A 玫 本 全 本 下 于 二 和 NO tT De &#124; -host--&#124; 

第 一 个 子 网 


Network: 11000000.10101000.00000000.0 0000000 192.168.0.0 

Broadcast: 11000000.10101000.00000000.0 1111111 192.168.0.127 
(di A Ne:EeLD &#124; -host-&#124; 

Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 


第 二 个 子 网 
Network: 110060000.10101000.00000000.1 0000000 192.168.0.128 
Broadcast: 11000000.10101000.00000000.1 1111111 192.168.0.255 
&H124 NetID &#124; -host -&#124; 
Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 


所 以 说 ， 当 再 细 分 下 去 时 ， 就 会 得 到 两 个 子 域 ， 而 两 个 子 域 还 可 以 再 细 分 下 去 喔 (Net/D 用 掉 
26 bits ....)。 呵 呵 ! 如 果 你 站 的 能 够 理解 |/P Network, Broadcast, Netmask 的 话 ， 茶 喜 你 ， 未 
来 的 服务 器 学 习 之 路 已 经 顺畅 了 一 半 啦 1! 从 


例题 : 试 着 计算 出 172.16.0.0， 但 Net ID 占用 23 个 位 时 ， 这 个 网 域 的 Netmask, Network， 
Broadcast 等 参数 答 : 由 于 172.16.xxx.xxx 是 在 Class B 的 等 级 当中 ， 亦 即 Net ID 是 16 位 
才 对 。 不 过 题目 给 的 Net ID 占用 了 23 个 位 喔 ! 等 于 是 向 Host ID 借 了 (23-16) 7 个 位 用 在 
Net ID 当中 。 所 以 整个 IP 的 地 址 会 变 成 这 样 


预 设 : 7 2 .0000000 0.00000000 

CH L224 NC COT DS &#124; - -HOSt- - -&#124; 
Network: 172 . 16 .0000000 0.00000000 172.16.0.0 
Broadcast: 172 . 16 .0000000 1.11111111 172.16.1.255 


Netmask: 11111111.11111111.1111111 0.00000000 255.255.254.0 


鸟 哥 在 这 里 有 偷懒 ， 因 为 这 个 IP 段 的 前 16 个 位 不 会 被 改变 ， 所 以 并 没有 计算 成 二 进 制 
(172.16) ， 商 是 不 好 意思 啊 ~~ 至 于 粗 体 部 分 则 是 代表 host ID 啊 ! 


其 实 子 网 的 计算 是 有 偷 吃 步 的 ， 我 们 知道 IP 是 二 进 制 ， 每 个 位 就 是 2 的 次 方 。 又 由 于 IP 数 
量 都 是 平均 分 ae Uo 
说 ， 要 是 给 予 Net ID 是 26 位 时 ， 总 共 分 为 几 段 呢 ? 因为 26-24=2， 所 以 总 共用 掉 两 个 位 ， 
人 2 的 2 次 方 ， 3 4 个 网 段 。 再 将 256 个 IP 平均 分 配 到 4 个 网 段 去 ， 那 我 们 就 可 以 
知道 这 四 个 网 段 分 别 是 


192.168.0.0~192.168.0.63 
192.168.0.64~192.168.0.127 
192.168.0.128~192.168.0.191 
192.168.0.192~192.168.0.255 


有 没有 变 简单 的 感觉 啊 ? 那 你 再 想 想 ， 如 果 同 样 一 个 网 段 ， 那 Net ID 变 成 27 个 位 时 ， 又 该 
如 何 计 算 呢 ?自己 算 算 看 吧 | 


。 无 层级 IP : CIDR (Classless Interdomain Routing) 


一 般 来 说 ， 如 果 我 们 知道 了 Network 以 及 Netmask 之 后 ， 就 可 以 定义 出 该 网 域 的 所 有 IP 
了 ! 因为 由 Netmask 就 可 以 推算 出 来 Broadcast 的 IP 啊 ! 因 此 ， 我 们 常常 会 以 Network 以 
及 Netmask 来 表示 一 个 网 域 ， 例 如 这 样 的 写法 : 


Network/Netmask 
192.168.0.0/255.255.255.0 
192.168.0.0/24 &lt;== 因 为 Net_ID 共有 24 个 bits 


另外 ， 了 既然 Netmask 里 面 的 Net ID 都 是 1， 那 么 Class C 共有 24 bits 的 Net ID ， 所 以 
啦 ， 就 有 类 似 上 面 192.168.0.0/24 这 样 的 写法 史 ! 这 就 是 一 般 网 域 的 表示 方法 。 同 理 可 证 ， 
在 上 述 的 偷 吃 步 计算 网 域 方 法 中 ， 四 个 网 段 的 写法 就 可 以 写成 : 


。 192.168.0.0/26 
。 192.168.0.64/26 
。 192.168.0.128/26 
。 192.168.0.192/26 


事实 上 ， 由 于 网 络 细 分 的 情况 太 严 重 ， 为 了 担心 路 由 信息 过 于 庞大 导致 网 络 效能 不 佳 ， 

此 ， 某 些 特 殊 情 况 下 ， 我 们 反而 是 将 Net ID 借用 来 作为 Host ID 的 情况 ! 这 样 就 能 够 将 多 
个 网 域 写 成 一 个 啦 ! 举例 来 说 ， 我 们 将 256 个 Class C 的 私有 1P 
(192.168.0.0~192.168.255.255) 写成 一 个 路 由 信息 的 话 ， 那 么 这 个 网 段 的 写法 就 会 变 成 : 
192.168.0.0/16， 反 而 将 192 开头 的 Class C 变 成 class B 的 样子 了 | 这 种 打破 原本 IP 代表 
等 级 的 方式 ( 透 过 Netmask 的 规范 ) 就 被 称 为 无 等 级 网 域 间 路 由 (CIDR) 哩 ! ( 注 14) 


老实 说 ， 你 无 须 理会 哈 是 无 等 级 网 域 间 路 由 啦 ! 只 要 知道 ， 那 个 Network/Netmask 的 写法 ， 
通常 就 是 CIDR 的 写法 ! 然后 ， 你 也 要 知道 如 何 透 过 Netmask 去 计算 出 Network, Broadcast 
及 可 用 的 IP 等 ， 那 你 的 IP 概念 就 相当 完整 了 !^ 和 ^ 


2.3.5 路 由 概念 


我 们 知道 在 同一 个 区 网 里 面 ， 可 以 透 过 IP 广播 的 方式 来 达到 资料 传递 的 目的 。 但 如 果 是 非 区 
网 内 的 数据 呢 ? 这 时 就 得 要 透 过 那个 所 谓 的 邮局 (路 由 器 ) 的 帮忙 了 | 这 也 是 网 络 层 非常 重要 
的 概念 喔 ! 先 来 看 看 什么 是 区 网 吧 ! 


例题 : 请 问 192.168.10.100/25 与 192.168.10.200/25 是 否 在 同一 个 网 域内 ? 答 : 如 果 经 过 计 
算 ， 会 发 现 192.168.10.100 的 Network 为 192.168.10.0 ， 但 是 192.168.10.200 的 Network 
却 是 192.168.10.128， 由 于 Net ID 不 相同 ， 所 以 当然 不 在 同一 个 网 段 内 ! 关于 Network 与 
Netmask 的 算法 则 请 参考 上 一 小 节 。 


| 哥 和 Linux 私 / 


如 上 题 所 述 ， 那 么 这 两 个 网 段 的 数据 无 法 透 过 广播 来 达到 数据 的 传递 啊 ， 那 怎 办 ? 此 时 就 得 
要 经 过 |P 的 路 径 选择 (routing) 功能 啦 ! 我 们 以 下 面 图 示 的 例子 来 做 说 明 。 下 列 图 示 当 中 共 

有 两 个 不 同 的 网 段 ， 分 别 是 Network A 与 Network B， 这 两 个 网 段 是 经 由 一 部 路 由 器 (Server 
A) 来 进行 数据 转 递 的 ， 好 了 ， 那 么 当 PC01 这 部 主机 想 要 传送 数据 到 PC11 时 ， 他 的 IP 封 

包 该 如 何 传输 呢 ? 


Network A 


192.168.1.254 


192.168.0,254 





PC 11 PC 12 PC 13 PC 14 
IP:192.168.1.1 IP:192.168.1.2 IP:192.168.1.3 IP:192.168.1.4 
GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 
Network B 图 2.3-2、 简 易 的 路 由 示意 
图 


我 们 知道 Network A(192.168.0.0/24) 与 Network B(192.168.1.0/24) 是 不 同 网 段 ， 所 以 PC01 
与 PC11 是 不 能 直接 互通 数据 的 。 不 过 ，PC01 与 PC11 是 如 何 知道 他 们 两 个 不 在 同一 个 网 
段 内 ? 这 当然 是 透 过 Net ID 来 发 现 的 ! 那么 当主 机 想 要 传送 数据 时 ， 他 主要 的 参考 是 哈 ? 
很 简单 ! 是 『 路 由 表 (route table)4， 每 部 主机 都 有 自己 的 路 由 表 4 ， 让 我 们 来 看 一 看 预 设 
的 情况 下 ，PC01 要 如 何 将 数据 传送 到 PC02 呢 ? 


1， 查询 IP 封包 的 目标 IP 地 址 : 当 PC01 有 IP 封 包 需 要 传送 时 ， 主 机 会 查阅 |P 封包 表 头 
的 目标 IP 地 址 ; 


2， 查询 是 否 位 于 本 机 所 在 的 网 域 之 路 由 设 定 : PC01 主机 会 分 析 自 己 的 路 由 表 ， 当 发 现 目 
标 IP 与 本 机 |IP 的 Net ID 相同 时 (同一 网 域 )， 则 PC01 会 直接 透 过 区 网 功能 ， 将 数据 直 
接 传 送 给 目的 地 主机 。 


3. 查询 预 设 路 由 (default gateway) : 但 在 本 案例 中 ，PC01 与 PC11 并 非 同一 网 域 ， 因 此 
PC01 会 分 析 路 由 表 当 中 是 否 有 其 他 相符 合 的 路 由 设 定 ， 如 果 没 有 的 话 ， 就 直接 将 该 IP 
封包 送 到 预 设 路 由 器 (default gateway) 上 头 去 ， 在 本 案例 当中 default gateway 则 是 
ServerA 这 一 部 。 


天 


送出 封包 至 gateway 后 ， 不 理会 封包 流向 : 当 IP 由 PC01 送 给 Server 人 A 之 后 ，PC01 
就 不 理会 接 下 来 的 工作 。 而 Server A 接收 到 这 个 封包 后 ， 会 依据 上 述 的 流程 ， 也 分 析 自 
己 的 路 由 信息 ， 然 后 向 后 继续 传输 到 正确 的 目的 地 主机 上 头 。 


Tips: Gateway / Router : 网 关 / 路 由 器 的 功能 就 是 在 负责 不 同 网 域 之 间 的 封包 转 北 (IP 
Forwarding)， 由 于 路 由 器 具有 IP Forwarding 的 功能 ， 并 且 具 有 管理 路 由 的 能 力 ， 所 以 可 以 
将 来 自 不 同 网 域 之 间 的 封包 进行 转 递 的 功能 。 此 外 ， 你 的 主机 与 你 主机 设 定 的 Gateway 必定 
是 在 同一 个 网 段 内 呢 ! 


大 致 的 情况 就 是 这 样 ， 所 以 每 一 部 主机 里 面 都 会 存在 着 一 个 路 由 表 (Route table)， 数 据 的 伟 
递 将 依据 这 个 路 由 表 进 行 传送 ! 而 一 旦 封包 已 经 经 由 路 由 表 的 规则 传送 出 去 后 ， 那 么 主机 本 
身 就 已 经 不 再 管 封 包 的 流向 了 ， 因 为 该 封包 的 流向 将 是 下 一 个 主机 (也 就 是 那 部 Router) 来 进 
行 传送 ， 而 Router 在 传送 时 ， 也 是 依据 Router 自己 的 路 由 表 来 判断 该 封包 应 该 经 由 哪里 传 
送出 去 的 ! 整体 来 说 ， 数 据 传 送 有 点 像 这 样 : 


Internet 





PC 01 
GW:Server A GW: 


Server A Server B Server Bingo 


Server B GW:Server C 图 2.3-3、 


路 由 的 概念 


PC 01 要 将 资料 送 到 Server Bingo 去 ， 则 依据 自己 的 路 由 表 ， 将 该 封包 送 到 Server 人 去 ， 
Server A 再 继续 送 到 ServerB ， 然 后 在 一 个 一 个 的 接力 给 他 送 下 去 ， 最 后 总 是 可 以 到 达 
Server Bingo 的 。 


上 面 的 案例 是 一 个 很 简单 的 路 由 概念 ， 事 实 上 ，|nternet 上 面 的 路 由 协议 与 变化 是 相当 复杂 
的 ， 因 为 Internet 上 面 的 路 由 并 不 是 静态 的 ， 他 可 以 随时 因为 环境 的 变化 而 修订 每 个 封包 的 
传送 方向 。 举 例 来 说 ， 数 年 前 在 新 竹 因 为 土木 施工 导致 台湾 西部 整个 网 络 缆 线 的 中 断 。 不 过 
南北 的 网 络 竟然 还 是 能 通 ， 为 什么 呢 ? 因为 路 由 已 经 判断 出 西部 缆 线 的 终止 ， 因 此 他 自动 的 


导向 台湾 东部 的 花莲 路 线 ， 虽 然 如 此 一 来 绕 了 一 大 团 ， 而 且 造 成 网 络 的 大 塞车 ， 不 过 封包 还 
是 能 通 就 是 了 ! 这 个 例子 仅 是 想 告诉 大 家 ， 我 们 上 面 提 的 路 由 仅 是 一 个 很 简单 的 静态 路 由 情 
况 ， 如 果 想 要 更 深入 的 了 解 route ， 请 自行 参考 相关 书籍 喔 1 ^^。 


此 外 ， 在 属于 Public 的 Internet 环境 中 ， 由 于 最 早 时 的 IP 分 配 都 已 经 配置 妥当 ， 所 以 各 单 
位 的 路 由 一 经 设 定 妥 当 后 ， 上 层 的 路 由 则 无 须 担 心 啊 1 IP 的 分 配 可 以 参考 底下 的 网 页 : 


e。 台湾 地 区 IP 核发 情况 : http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp? 
Order=inet_ aton(Startip ) 


2.3.6 观察 主机 路 由 : route 


既然 路 由 是 这 么 的 重要 ， 而且 『 路 由 一 旦 设 定 错 误 ， To 
去 14 所 以 我 们 当然 需要 好 好 的 ee ! 还 是 请 再 注意 一 下 ， 每 一 
部 主机 都 有 自己 的 路 由 表 喔 |! 观察 路 由 表 的 指令 很 简单 ， 就 是 route ， 这 个 指令 挺 难 的 ， 我 们 
在 后 面 章节 再 继续 的 介绍 ， Re 


[root@www ~]# route [-n] 
选项 与 参数 : 
-n : 将 主机 名 以 IP 的 方式 显示 


[root@www ~]# route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.0.0 25582558525580 U 0 0 9 etho 
127.0.0.0 255.0.0.0 U 0 0 9 lo 

default 192.168.0.254 0.0.0.0 UG 0 0 9 etho 


[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.0.0 0.0.0.0 5525525550 U 0 0 © etho 
2730%050 0.0.0.0 2550R0R0 U 0 0 9 lo 
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 © etho 
# 上 面 输出 的 数据 共有 八 个 字段 ， 你 需要 注意 的 有 几 个 地 方 : 

# Destination : 其 实 就 是 Network 的 意思 ; 

# Gateway : 就 是 该 接口 的 Gateway 那个 IP 啦 1 若 为 0.0.0.0 表示 不 需要 额外 的 IP ; 
# Genmask : 就 是 Netmask 啦 1 与 Destination 组 合成 为 一 部 主机 或 网 域 ; 

# Flags : 共有 多 个 旗 标 可 以 来 表示 该 网 域 或 主机 代表 的 意义 

# U : 代表 该 路 由 可 用 ; 

将 G : 代表 该 网 域 需要 经 由 Gateway 来 帮忙 转 递 ; 

# H : 代表 该 行路 由 为 一 部 主机 ， 而 非 一 整个 网 域 ; 

# Iface : 就 是 Interface (接口 ) 的 意思 。 


在 上 面 的 例子 当中 ， 鸟 哥 是 以 PC 01 这 部 主机 的 路 由 状态 来 进行 说 明 。 由 于 PC 01 为 
192.168.0.0/24 这 个 网 域 ， 所 以 主机 已 经 建立 了 这 个 网 域 的 路 由 了 ， 那 就 是 『 192.168.0.0 
255.255.255.0 ... 4 那 一 行 所 显示 的 讯息 ! 当 你 下 达 route 时 ， 屏 幕 上 说 明了 这 部 机 器 上 面 共 
有 三 个 路 由 规则 ， 第 一 栏 为 『 目 的 地 的 网 域 ] ， 例 如 192.168.0.0 就 是 一 个 网 域 咯 ， 最 后 一 栏 
显示 的 是 『 要 去 到 这 个 目的 地 要 使 用 哪 一 个 网 络 接 口 1 」 例 如 eth0 就 是 网 络 卡 的 装置 代号 


啦 。 如 果 我 们 要 传送 的 封包 在 路 由 规则 里 面 的 192.168.0.0/255.255.255.0 或 者 
127.0.0.0/255.0.0.0 里 面 时 ， 因 为 第 二 栏 Gateway 为 ， 所 以 就 会 直接 以 后 面 的 网 络 接口 来 传 
送出 去 ， 而 不 透 过 Gateway 咯 ! 


万 一 我 们 要 传送 的 封包 目的 地 IP 不 在 路 由 规则 里 面 ， 那 么 就 会 将 封包 传送 到 『defaultJ 所 在 
的 那个 路 由 规则 去 ， 也 就 是 192.168.0.254 那个 Gateway 咀 ! 所 以 ， 几 乎 每 一 部 主机 都 会 有 
一 个 default gateway 来 帮 他 们 负责 所 有 非 网 域内 的 封包 转 递 ! 这 是 很 重要 的 概念 喔 1^ 人 和 1 
关于 更 多 的 路 由 功能 与 设 定 方法 ， 我 们 在 第 八 章 当中 会 再 次 的 提 及 呢 ! 


2.3.7 IP 与 MAC : 链 结 层 的 ARP 与 RARP 协定 


现在 我 们 知道 Internet 上 面 最 重要 的 就 是 那个 IP 了 ， 也 会 计算 所 谓 的 局 域 网 络 与 路 由 。 但 
是 ， 事 实 上 用 在 传递 数据 的 明明 就 是 以 太 网 络 啊 ! 以 太 网 络 主要 是 用 网 卡 卡号 (MAC) 的 嘛 ! 
这 就 有 问题 啦 ! 那 这 两 者 (IP 与 MAC) 势必 有 一 个 关连 性 存在 吧 ? 没 错 ! 那 就 是 我 们 要 谈 到 的 
ARP (Address Resolution Protocol, 网 络 地 址 解析 ) 协议 ， 以 及 RARP (Revers ARP, 反 向 网 
络 地 址 解析 ) 


当 我 们 想 要 了 解 某 个 IP 其 实 是 设 定 于 某 张 以 太 网 络 卡 上 头 时 ， 我 们 的 主机 会 对 整个 区 网 发 送 
出 ARP 封包 ， 对 方 收 到 ARP 封包 后 就 会 回 传 他 的 MAC 给 我 们 ， 我 们 的 主机 就 会 知道 对 方 
所 在 的 网 卡 ， 那 接 下 来 就 能 够 开始 传递 数据 嘿 。 如 果 每 次 要 传送 都 得 要 重新 来 一 遍 这 个 ARP 
协定 那 不 是 很 烦 ? 因此 ， 当 使 用 ARP 协议 取得 目标 IP 与 他 网 卡 卡号 后 ， 就 会 将 该 笔记 录 写 
入 我 们 主机 的 ARP table 中 (内 存 内 的 数据 ) 记录 20 分 钟 ( 注 14) 。 


例题 : 如 何 取得 自己 本 机 的 网 卡 卡 号 (MAC) 答 : 


在 Linux 环境 下 

[root@www ~]# ifconfig etho 

etho Link encap:Ethernet HWwaddr 00:01:03:43:E5:34 
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::201:3ff:fe43:e534/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 


在 Windows 环境 下 
C:\Documents and Settings\admin..&gt; ipconfig /all 


Physical Address. . ....... ': 00-01-03-43-E5-34 


那 如 何 取 得 本 机 的 ARP 表格 内 的 IP/MAC 对 应 数据 呢 ? 就 透 过 arp 这 个 指令 吧 ! 


[root@www ~]# arp -[nd] hostname 

[root@www ~]# arp -s hostname(IP) Hardware_address 
选项 与 参数 : 

-n :将 主机 名 以 IP 的 型 态 显示 

-d :将 hostname 的 hardware_address 由 ARP table 当中 删除 掉 
-S : 设 定 菜 个 IP 或 hostname 的 MAC 到 ARP table 当中 


范例 一 : 列 出 目前 主机 上 面 记载 的 IP/MAC 对 应 的 ARP 表格 
[root@www ~]# arp -n 


Address Hwtype Hwaddress Flags Mask Iface 
192.168.1.100 ether 00:01:03:01:02:03 C etho 
192.168.1.240 ether 00:01:03:01:DE:OA C etho 
192.168.1.254 ether 00:01:03:55:74:AB C etho 


范例 二 : 将 192.168.1.100 那 部 主机 的 网 卡 卡 号 直接 写 入 ARP 表格 中 
[root@www ~]# arp -s 192.168.1.100 01:00:2D:23:A1:0E 
# 这 个 指令 的 目的 在 建立 静态 ARP 


如 同上 面 提 到 的 ， 当 你 发 送 ARP 封包 取得 的 IP/MAC 对 应 ， 这 个 记录 的 ARP table 是 动态 的 
信息 (一 般 保留 20 分 钟 )， 他 会 随时 随 着 你 的 网 域 里 面 计算 机 的 IP 更 动 而 变化 ， 所 以 ， 即 使 

你 常常 更 动 你 的 计算 机 IP， 不 要 担心 ， 因 为 ARP table wi IP 与 MAC 的 表格 
内 容 ! 但 如 果 你 有 特殊 需求 的 话 ， 也 可 以 利用 『 arp -s 」 这 个 选项 来 定义 静态 的 ARP 对 应 

虽 | 


2.3.8 ICMP 协定 


ICMP 的 全 名 是 『 Internet Control Message Protocol, 因特网 讯息 控制 协议 」。 基本 上 ， 
ICMP 是 一 个 错误 侦 测 与 回报 的 机 制 ， 人 以 确保 我 们 网 络 的 联机 状态 与 联机 的 
正确 性 1 ICMP 也 是 网 络 层 的 重要 封包 之 一 ， 不 过 ， 这 个 封包 并 非 独立 存在 ， 而 是 纳入 到 IP 
的 封包 中 |! 也 就 是 说 ，|ICMP 同样 是 透 过 IP 封包 来 进行 数据 传送 的 啦 |! 因为 在 Internet 上 面 
有 传输 能 力 的 就 是 IP 封包 啊 ! ICMP 有 相当 多 的 类 别 可 以 侦 测 与 回报 ， 底 下 是 比较 常见 的 几 
个 ICMP 的 类 别 (Type) : 


人 类 别名 称 与 意义 
代 加 
号 
0 Echo Reply (代表 一 个 响应 信息 ) 
3 Destination Unreachable (表示 目的 地 不 可 到 达 ) 
Source Quench ( 当 router 的 负载 过 高 时 ， 此 类 别 码 可 用 来 让 发 送 端 停止 发 送 讯 
息 ) 
5 Redirect (用 来 重新 导向 路 由 路 径 的 信息 ) 
8 Echo Request (请 求 响 应 消息 ) 


Time Exceeded for a Datagram ( 当 数 据 封包 在 某 些 路 由 传送 的 现象 中 造成 逾 时 状 


11 态 ， 此 类 别 码 可 告知 来 源 该 封包 已 被 忽略 的 讯息 ) 

12 Parameter Problem on a Datagram ( 当 一 个 ICMP 封包 重复 之 前 的 错误 时 ， 会 回 
复 来 源 主机 关于 参数 错误 的 讯息 ) 

13 Timestamp Request (要 求 对 方 送 出 时 间 讯息 ， 用 以 计算 路 由 时 间 的 差异 ， 以 满足 


同步 性 协议 的 要 求 ) 

14 Timestamp Reply (此 讯息 纯粹 是 响应 Timestamp Request 用 的 ) 

Information Request (在 RARP 协议 应 用 之 前 ， 此 讯息 是 用 来 在 开机 时 取得 网 络 
信息 ) 


16 Information Reply (用 以 响应 Infromation Request 讯息 ) 


x Address Mask Request (这 讯息 是 用 来 查询 子 网 mask 设 定 信息 ) 
18 Address Mask Reply (响应 子 网 mask 查询 讯息 的 ) 


那么 我 们 是 如 何 利 用 ICMP 来 检验 网 络 的 状态 呢 ? 最 简单 的 指令 就 是 ping 与 traceroute 了 ， 
这 两 个 指令 可 以 透 过 ICMP 封包 的 辅助 来 确认 与 回报 网 络 主机 的 状态 。 在 设 定 防火 墙 的 时 
候 ， 我 们 最 容易 忽略 的 就 是 这 个 ICMP 的 封包 了 ， 因 为 只 会 记 住 TCP/UDP 而 已 一 事实 上 ， 
ICMP 封包 可 以 帮助 联机 的 状态 回报 ， 除 了 上 述 的 8 可 以 考虑 关闭 之 外 ， 基 本 上 ，ICMP 封包 
也 不 应 该 全 部 都 挡 掉 喔 |! 


2.4 TCP/IP 的 传输 层 相 关 封 包 与 数据 


网 络 层 的 IP 封包 只 负责 将 数据 送 到 正确 的 目标 主机 去 ， 但 这 个 封包 到 底 会 不 会 被 接受 ， 或 者 
是 有 没有 被 正确 的 接收 ， 那 就 不 是 IP 的 任务 啦 | 那 是 传送 层 的 任务 之 一 。 从 图 2.1-4 我 们 可 
以 看 到 传送 层 有 两 个 重点 ， 一 个 是 连接 导向 的 TCP 封包 ， 一 个 是 非 连接 导向 的 UDP 封包 

这 两 个 封包 很 重要 啊 ! 数据 能 不 能 正确 的 被 送 达 目的 ， 与 这 两 个 封包 有 关 嘱 ! 


2.4.1 可 靠 联机 的 TCP 协议 


在 前 面 的 OSI ee 中 ， 在 网 络 层 的 IP 之 上 则 是 传送 层 ， 而 传送 层 的 数据 打包 成 什么 ? 
最 常见 的 就 是 TCP 封包 了 。 这 个 TCP 封包 数据 必须 要 能 够 放 到 IP 的 数据 袋 当 中 才 行 喔 1 所 
以 ， 我 们 将 图 2.1-4 简 es 下 ， 将 MAC ,IP 与 TCP 的 封包 数据 这 样 看 : 


的 的 表 头 





图 2.4-1、 各 封包 之 
间 的 相关 性 


想当然 尔 ，TCP 也 有 表 头 数据 来 记录 该 封包 的 相关 信息 嘿 ? 没 错 啦 ~ TCP 封包 的 表 头 是 长 这 
个 样子 的 : 
4 bits 6 bits 6 bits 8 bits 8 bits 
Source Port Destination Port 
Sequence Number 


Acknowledge Number 


Data Offset Reserved Code Window 
Checksum Urgent Pointer 

Options Padding 

Data 


图 2.4-2、TCP 封包 的 表 头 资料 


上 图 就 是 一 个 TCP 封包 的 表 头 数据 ， 各 个 项 目 以 Source Port, Destination Port 及 Code 算 
是 比较 重要 的 项 目 ， 底 下 我 们 就 分 别 来 谈 一 谈 各 个 表 头 数据 的 内 容 吧 | 


Source Port & Destination Port (来 源 埠 口 & 目标 端口 ) 什么 是 埠 口 (port) ? 我 们 知道 IP 封 
包 的 传送 主要 是 藉 由 IP 地 址 连接 两 端 ， 但 是 到 底 这 个 联机 的 通道 是 连接 到 哪里 去 呢 ? 没 
错 ! 就 是 连接 到 port 上 头 啦 1 举例 来 说 ， 乌 哥 的 网 站 有 开放 WWW 服务 器 ， 这 表示 乌 
站 的 主机 必须 要 启动 一 个 可 以 让 client 端 连接 的 端口 ， 这 个 端口 就 是 port (中 文 翻译 成 为 
埠 口 )。 同 样 的 ， 客 户 端 想 要 连接 到 鸟 哥 的 鸟 站 时 ， 就 必须 要 在 client 主机 上 面 启动 一 个 
port ， 这 样 这 两 个 主机 才能 够 利用 这 条 『 通 道 」 来 传递 封包 数据 喔 ! 这 个 目标 与 来 源 
port 的 纪录 ， 可 以 说 是 TCP 封包 上 最 重要 的 参数 了 | 


Sequence Number (封包 序号 ) 由 于 TCP 封包 必须 要 带 入 IP 封包 当中 ， 所 以 如 果 TCP 
数据 太 大 时 (大 于 IP 封包 的 容许 程度 )， 就 得 要 进行 分 段 。 这 个 Sequence Number 就 是 
记录 每 个 封包 的 序号 ， 可 以 让 收受 端 重新 将 TCP 的 数据 组 合 起 来 。 


Acknowledge Number (回应 序号 ) 为 了 确认 主机 端 确实 有 收 到 我 们 client 端 所 送出 的 封包 
数据 ， 我 们 client 端 当然 希望 能 够 收 到 主机 方面 的 响应 ， 那 就 是 这 个 Acknowledge 
Number 的 用 途 了 。 当 client 端 收 到 这 个 确认 码 时 ， 就 能 够 确定 之 前 传递 的 封包 已 经 被 
正确 的 收 下 了 。 


Data Offset (资料 补偿 ) 在 图 2.4-2 倒数 第 二 行 有 个 Options 字段 对 吧 ! 那个 Options 的 
字段 长 度 是 非 固 定 的 ， 而 为 了 要 确认 整个 TCP 封包 的 大 小 ， 就 需要 这 个 标志 来 说 明 整 个 
封包 区 段 的 起 始 位 置 。 


Reserved (保留 ) 未 使 用 的 保留 字段 。 


Code (Control Flag, 控制 标志 码 ) 当 我 们 在 进行 网 络 联机 的 时 候 ， 必 须要 说 明 这 个 联机 的 
状态 ， 好 让 接收 端 了 解 这 个 封包 的 主要 动作 。 这 可 是 一 个 非常 重要 的 句柄 喔 ! 这 个 字段 
共有 6 个 bits ， 分 别 代 表 6 个 句柄 ， 若 为 1 则 为 启动 。 分 别 说 明 如 下 : 


o URG(Urgent) : 若 为 1 则 代表 该 封包 为 紧急 封包 ， 接 收 端 应 该 要 紧急 处 理 ， 且 图 
2.4-1 当中 的 Urgent Pointer 字段 也 会 被 启用 。 


o ACK(Acknowledge) : 若 为 1 代表 这 个 封包 为 响应 封包 ， 则 与 上 面 提 到 的 
Acknowledge Number 有 关 。 


o PSH(Push function) : 若 为 1 时， 代表 要 求 对 方 立即 传送 缓冲 区 内 的 其 他 对 应 封包 
而 无 须 等 待 缕 冲 区 满 了 才 送 。 


o RST(Reset) : 如 果 RST 为 1 的 时 候 ， 表 示 联 机 会 被 马上 结束 ， 而 无 需 等 待 终止 确认 
手续 。 这 也 就 是 说 ， 这 是 个 强制 结束 的 联机 ， 且 发 送 端 已 断 线 。 


o SYN(Synchronous) : 若 为 1， 表 示 发 送 端 希 望 双方 建立 同步 处 理 ， 也 就 是 要 求 建立 
联机 。 通 常 带 有 SYN 标志 的 封包 表示 『 主 动 1 要 连接 到 对 方 的 意思 。 


o FIN(Finish) : 若 为 1， 衣 示 传 送 结束 ， 所 以 通知 对 方 数据 传 毕 ， 是 否 同 意 断 线 ， 只 
是 发 送 者 还 在 等 待 对 方 的 响应 而 已 。 


其 实 每 个 项 目 都 很 重要 ， 不 过 我 们 这 里 仅 对 ACK/SYN 有 兴趣 而 已 ， 这 样 未 来 在 谈 

到 防火 墙 的 时 候 ， 你 才 会 比较 清楚 为 啥 每 个 TCP 封包 都 有 所 谓 的 『 状 态 J 条 件 ! 那 
就 是 因为 联机 方向 的 不 同 所 致 啊 ! 底下 我 们 会 进一步 讨论 喔 ! 至 于 其 他 的 数据 ， 就 
得 请 您 自行 查询 网 络 相关 书籍 了 ! 


e。 Window (滑动 窗口 ) 主要 是 用 来 控制 封包 的 流量 的 ， 可 以 告知 对 方 目前 本 身 有 的 缓冲 器 容 
量 (Receive Buffer) 还 可 以 接收 封包 。 当 Window=0 时 ， 代 表 缓 冲 器 已 经 额 满 ， 所 以 应 该 
要 暂停 传输 数据 。 Window 的 单位 是 byte 。 


Checksum( 确 认 检查 码 ) 当 数 据 要 由 发 送 端 送出 前 ， 会 进行 一 个 检验 的 动作 ， 并 将 该 动作 
的 检验 和 值 标注 在 这 个 字段 上 ; 而 接收 者 收 到 这 个 封包 之 后 ， 会 再 次 的 对 封 ， 
并 且 人 发 送 的 Checksum 值 是 否 相 符 ， 如 果 相 符 就 接受 ， 若 不 符 就 会 假设 该 封包 

经 损毁 ， 进 而 要 求 对 方 重新 发 送 此 封包 


。 Urgent Pointer( 紧 急 资 料 ) 这 个 字段 是 在 Code 字段 内 的 URG = 1 时 才 会 产生 作用 。 可 以 
告知 紧急 数据 所 在 的 位 置 。 


e。 Options( 任 意 资料 ) 目前 此 字段 仅 应 用 于 表示 接收 端 可 以 接收 的 最 大 数据 区 段 容量 ， 若 此 
字段 不 使 用 ， 表 示 可 以 使 用 任意 资料 区 段 的 大 小 。 这 个 字段 较 少 使 用 。 


e。 Padding( 补 足 字段 ) 如 同 IP 封包 需要 有 固定 的 32bits 表 头 一 样 ，Options 由 于 字段 为 非 
固定 ， 所 以 也 需要 Padding 字段 来 加 以 补 齐 才 行 。 同 样 也 是 32 bits 的 整数 。 


谈 完 了 TCP 表 头 数据 后 ， 再 来 让 我 们 了 解 一 下 这 个 表 头 里 面 最 重要 的 端 息 吧 | 
。 通讯 端口 


在 上 图 的 TCP 表 头 数据 中 ， 最 重要 的 就 属 那 16 位 的 两 个 吹 吹 ， Re 
于 是 16 位 ， 因 此 目标 与 来 源 端口 最 大 可 达 65535 号 (2 的 16 次 方 ) ! 那 这 个 堆 口 有 什么 

呢 ?上面 稍微 提 到 过 ， 网 络 是 双向 的 ， 服 务 器 与 客户 端 要 达成 联机 的 话 ， ee 
对 应 的 埠 口 来 达成 联机 信道 ， 好 让 数据 可 以 透 过 这 个 信道 来 进行 沟通 。 


那么 这 个 起 口 怎么 打开 呢 ? 就 是 透 过 程序 的 执行 ! 举例 来 说 ， 乌 哥 的 网 站 上 ， 必 须要 启动 一 
个 WWW 服务 器 软件 ， 这 个 服务 器 软件 会 主动 的 唤起 port 80 来 等 待 客户 端的 联机 。 你 想 要 
看 我 网 站 上 的 数据 ， 就 得 要 利用 浏览 器 ， 填 入 网 址 ， 然 后 浏览 器 也 会 启动 一 个 堆 口 ， 并 将 
TCP 的 表 头 填写 目标 端 A i ne i 
包 封 装 到 IP 后 ， 送 出 到 网 络 上 。 等 鸟 站 主机 接收 到 你 这 个 封包 后 ， 再 依据 你 的 起 口 给 予 回 
应 。 


这 么 说 你 或 许 不 好 理解 ， 我 们 换个 说 法 好 了 。 假 如 IP 是 网 络 世界 的 门牌 ， 那 么 这 个 堆 口 就 是 
那个 门牌 号 码 上 建筑 物 的 楼 层 ! 每 个 建筑 物 都 有 1~65535 层 楼 ， 你 需要 什么 网 络 服务 ， 就 得 
要 去 该 对 应 的 楼 层 取得 正确 的 资料 。 但 那个 楼 层 里 面 有 没有 人 在 服务 你 呢 ? 这 就 得 要 看 有 没 
有 程序 凌 的 在 执行 啦 。 所 以 ，IP 是 门牌 ，TCP 是 楼 层 ， 监 正 提供 服务 的 ， 是 在 该 楼 层 的 那个 
人 (程序 ) ! 


Tips: 曾经 有 一 个 朋友 问 过 我 说 : 『 一 部 主机 上 面 这 么 多 服务 ， 那 我 们 跟 这 部 主机 进行 联机 
时 ， 该 主机 怎么 知道 我 们 要 的 数据 是 WWW 还 是 FTP 啊 ? 4 就 是 透 过 埠 口 啊 | 因为 每 种 
Client 软件 他 们 所 需要 的 数据 都 不 相同 ， 例 如 上 面 提 到 的 浏览 器 所 需要 的 数据 是 WWW ， 所 
以 该 软件 默认 就 会 向 服务 器 的 port 80 索 求 数据 ; 而 如 果 你 是 使 用 filezilla 来 进行 与 服务 器 的 
FTP 数据 索 求 时 ，filezilla 当然 预 设 就 是 向 服务 器 的 FTP 相关 埠 口 ( 预 设 就 是 port 21) 进行 连 
接 的 动作 啦 ! 所 以 当然 就 可 以 正确 无 误 的 取得 Client 端 所 需要 的 数据 了 


再 举 个 例子 来 说 ， 一 部 主机 就 好 像 是 一 间 多 功能 银行 ， 该 银行 内 的 每 个 负责 不 同业 务 的 窗口 
就 好 像 是 通讯 端口 ， 而 我 们 民众 就 好 像 是 Client 端 来 的 封包 。 当 你 进入 银行 想 要 缴纳 信用 卡 
账单 时 ， 一 到 门口 服务 人 员 就 会 指示 你 直接 到 该 窗口 去 缴纳 ， 当 然 ， 如 果 你 是 要 领 钱 ， 服 务 
人 员 就 会 请 你 到 领 钱 的 窗口 去 填写 数据 ， 你 是 不 会 跑 错 的 对 吧 | ^ ^。 万 一 跑 错 了 怎么 办 ? 
呵呵 ! 当然 该 窗口 就 会 告诉 你 『 我 不 负责 这 个 业务 ， 你 请 回去 ! 4」， 呵 呵 ! 所 以 该 次 的 联机 
就 会 『 无 法 成 功 ] 咯 ! 





。 特权 埠 口 (Privileged Ports) 


你 现在 了 解 了 埠 口 的 意义 后 ， 再 来 想 想 ， 网 络 既然 是 双向 的 ， 一 定 有 一 个 发 起 端 。 问 题 是 ， 

到 底 要 联机 到 服务 器 取得 啥 玩意 儿 ? 也 就 是 说 ， 哪 支 程序 应 该 在 哪个 端口 执行 ， 以 让 大 家 都 
知道 该 夫 口 就 是 提供 哪个 服务 ， 如 此 一 来 ， 才 不 会 造成 广大 用 户 的 困扰 嘛 上 所 以 喝 ，Internet 
上 面 已 经 有 很 多 规范 好 的 固定 port (well-known port) ， 这 些 port number 通常 小 于 1024 ， 且 
是 提供 给 许多 知名 的 网 络 服务 软件 用 的 。 在 我 们 的 Linux 环境 下 ， 各 网 络 服务 与 port number 
的 对 应 默认 给 他 写 在 /etc/services 档案 内 喔 ! 底下 鸟 哥 列 出 几 个 常见 的 port number 与 网 络 
服务 的 对 应 : 


端口 服务 名 称 与 内 容 
20 FTP-data， 文 件 传输 协议 所 使 用 的 主动 数据 传输 端口 
21 FTP， 文 件 传输 协议 的 命令 通道 
22 SSH， 较 为 安全 的 远程 联机 服务 器 
23 Telnet， 昱 期 的 远程 联机 服务 器 软件 
25 SMTP， 简 单 邮件 传递 协议 ， 用 在 作为 mail server 的 埠 口 
53 DNS， 用 在 作为 名 称 解 析 的 领域 名 服务 器 
80 WWW， 这 个 重要 吧 ! 就 是 全 球 信 息 网 服务 器 
110 POP3， 邮 件 收 信 协 议 ， 办 公 室 用 的 收 信和 软件 都 是 透 过 他 


443 https， 有 安全 加 密 机 制 的 WWW 服 务 器 


另外 一 点 比较 值得 注意 的 是 ， 小 于 1024 以 下 的 埠 口 要 启动 时 ， 启 动 者 的 身份 作 须 要 是 root 
才 行 ， 所 以 才 叫 做 特权 老 口 嘛 ! 这 个 限制 挺 重要 的 ， 大 家 不 要 忘记 了 喔 1! 不 过 如 果 是 client 
端的 话 ， 由 于 client 端 都 是 主动 向 server 端 要 数据 ， 所 以 client 端的 port number 就 使 用 随 
机 取 一 个 大 于 1024 以 上 且 没 有 在 用 的 port number。 


e Socket Pair 


由 于 网 络 是 双向 的 ， 要 达成 联机 的 话 得 要 服务 器 与 客户 端 均 提 供 了 |P 与 埠 口 才 行 。 因 此 ， 我 
们 常常 将 这 个 成 对 的 数据 称 之 为 Socket Pair 了 ! 

。 来 源 IP+ 来 源 埠 口 (Source Address + Source Port) 

。 目的 IP+ 目 的 堆 口 (Destination Address + Destination Port) 


由 于 IP 与 堆 口 常常 连 在 一 起 说 明 ， 因 此 网 络 寻 址 常常 使 用 『 IP:port 4 来 说 明 ， 例 如 想 要 连 
上 乌 哥 的 网 站 时 ， 正 确 的 鸟 哥 网 站 写法 应 该 是 : 『 linux.vbird.org:80 4 才 对 1! 


2.4.2 TCP 的 三 向 交 握 


TCP 被 称 为 可 靠 的 联机 封包 ， 主 要 是 透 过 许多 机 制 来 达成 的 ， 其 中 最 重要 的 就 是 三 向 交 担 的 
功能 。 当 然 ，TCP 传送 数据 的 机 制 非常 复杂 ， 有 兴趣 的 朋友 请 自行 参考 相关 网 络 书籍 。 
OK， 那 么 如 何苦 由 TCP 的 表 头 来 确认 这 个 封包 有 实际 被 对 方 接收 ， 并 进一步 与 对 方 主机 达 
成 联机 ? 我 们 以 底下 的 图 示 来 作为 说 明 。 


客户 端 主机 端 
主动 点 送 联 机 要 求 ” 接 收 与 回应 





A 
B 
C 
D 
时 间 经 过 2 
1 间 经 过 图 2.4-3、 三 向 交 握 之 封包 
连接 模式 


在 上 面 的 封包 连接 模式 当中 ， 在 建立 联机 之 前 都 必须 要 通过 三 个 确认 的 动作 ， 所 以 这 种 联机 
方式 也 就 被 称 为 三 向 交 握 (Three-way handshake)。 那么 我 们 将 整个 流程 依据 上 面 的 A, B, C， 
D 四 个 阶段 来 说 明 一 下 : 


e。 A: 封 包 发 起 当 客户 端 想 要 对 服务 器 端 联 机 时 ， 就 必须 要 送出 一 个 要 求 联 机 的 封包 ， 此 时 
客户 端 必 须 随机 取 用 一 个 大 于 1024 以 上 的 端口 来 做 为 程序 沟通 的 接口 。 然 后 在 TCP 的 
表 头 当中 ， 必 须要 带 有 SYN 的 主动 联机 (SYN=1)， 并 且 记 下 发 送出 联机 封包 给 服务 器 端 
的 序号 (Sequence number = 10001)。 


B: 封 包 接收 与 确认 封包 传送 当 服务 器 接 到 这 个 封包 ， 并 且 确 定 要 接收 这 个 封包 后 ， 就 会 
开始 制作 一 个 同时 带 有 SYN=1, ACK=1 的 封包 ， 其 中 那个 acknowledge 的 号 码 是 要 给 
client 端 确 认 用 的 ， 所 以 该 数字 会 比 (A 步骤 ) 里 面 的 Sequence 号 码 多 一 号 (ack = 
10001+1 = 10002) ， 那 我 们 服务 器 也 必须 要 确认 客户 端 确 实 可 以 接收 我 们 的 封包 才 行 ， 
所 以 也 会 发 送出 一 个 Sequence (seq=20001) 给 客户 端 ' 并 且 开 始 等 待 客户 端 给 我 们 服 
务 器 端的 回应 喔 ! 


。 C: 回 送 确认 封包 当 客户 端 收 到 来 自 服务 器 端的 ACK 数字 后 (10002) 就 能 够 确认 之 前 那个 
要 求 封 包 被 正确 的 收受 了 ， 接 下 来 如 果 客 户 端 也 同意 与 服务 器 端 建立 联机 时 ， 就 会 再 次 
的 发 送 一 个 确认 封包 (ACK=1) 给 服务 器 ， 亦 即 是 acknowledge = 20001+1 = 20002 喝 。 


。 D: 取 得 最 后 确认 若 一 切 都 顺利 ， 在 服务 器 端 收 到 带 有 ACK=1 且 ack=20002 序号 的 封包 
后 ， 就 能 够 建立 起 这 次 的 联机 了 。 


也 就 是 说 ， 你 必须 要 了 解 『 网 络 是 双向 的 」 这 个 事实 ! 所 以 不 论 是 服务 器 端 还 是 客户 端 ， 都 
必须 要 透 过 一 次 SYN 与 ACK 来 建立 联机 ， 所 以 总 共 会 进行 三 次 的 交谈 | 在 设 定 防火 墙 或 者 
是 追踪 网 络 联机 的 问题 时 ， 这 个 『 了 双向 」 的 概念 最 容易 被 忽略 ， 而 常常 导致 无 法 联机 成 功 的 
问题 啊 ! 切记 切记 | 


Tips: 乌 可 上课 谈 到 TCP 最 常 做 的 事 就 是 ， 叫 一 个 同学 起 来 ， 实 际 表 演 三 向 交 握 给 大 家 看 ! 
1. 乌 可 说 : A 同学 你 在 不 在 ? 2. A 同学 说 : 我 在 ! 那 鸟 哥 你 在 不 在 ? 3. 乌 哥 说 : 我 也 在 此 时 
两 个 人 就 确认 彼此 都 可 以 听 到 对 方 在 讲 哈 ， 这 就 是 可 靠 联 机 啦 1 人 人 ^ 


2.4.3 非 连接 导向 的 UDP 协议 


UDP 的 全 名 是 : 『User Datagram Protocol, 用 户 数据 流 协 议 1，UDP 与 TCP 不 一 样 ，UDP 
不 提供 可 靠 的 传输 模式 ， 因 为 他 不 是 面向 连接 的 一 个 机 制 ， 这 是 因为 在 UDP 的 传送 过 程 中 ， 
接受 端 在 接受 到 封包 之 后 ， 不 会 回复 响应 封包 (ACK) 给 发 送 端 ， 所 以 封包 并 没有 像 TCP 封包 
有 较为 严密 的 检查 机 制 。 至 于 UDP 的 表 头 资料 如 下 表 所 示 : 


16 bits 16 bits 


Source Port Destination Port 
Message Length Checksum 
Data 


图 2.4-4、UDP 封包 的 表 头 资料 


TCP 封包 确实 是 比较 可 靠 的 ， 因 为 通过 三 向 交 握 嘛 1 不 过 ， 也 由 于 三 向 交 握 的 缘故 ，TCP 封 
包 的 传输 速度 会 较 慢 。 至 于 UDP 封包 由 于 不 需要 确认 对 方 是 否 有 正确 的 收 到 数据 ， 故 表 头 数 
据 较 少 ， 所 以 UDP 就 可 以 在 Data 处 填 入 更 多 的 资料 了 。 同 时 UDP 比较 适合 需要 实时 反应 
的 一 些 数据 流 ， 例 如 影像 实时 传送 软件 等 ， 就 可 以 使 用 这 类 的 封包 传送 。 也 就 是 说 ，UDP 传 
输 协 议 并 不 考虑 联机 要 求 、 联 机 终止 与 流量 控制 等 特性 ， 所 以 使 用 的 时 机 是 当 数 据 的 正确 性 
不 很 重要 的 情况 ， 例 如 网 络 摄影 机 ! 


另外 ， 很 多 的 软件 其 实 是 同时 提供 TCP 与 UDP 的 传输 协议 的 ， 举 例 来 说 ， 查询 主 机 名 的 
DNS 服务 就 同时 提供 了 UDP/TCP 协议 。 由 于 UDP 较为 快速 ， 所 以 我 们 client 端 可 以 先 使 用 
UDP 来 与 服务 器 联机 。 但 是 当 使 用 UDP 联机 却 还 是 无 法 取得 正确 的 数据 时 ， 便 转换 为 较为 
可 靠 的 TCP 传输 协议 来 进行 数据 的 传输 史 。 这 样 可 以 同时 兼顾 快速 与 可 靠 的 传输 说 ! 


Tips: 那么 上 课时 怎么 介绍 UDP 呢 ?很 简单 喔 ! 乌 哥 就 会 说 : 『 现 在 老师 就 是 在 进行 UDP 
的 传送 ， 因 为 老师 一 直 讲 一 直 讲 ， 做 也 没有 注意 到 你 有 没有 听 到 ， 也 不 需要 等 待 你 的 响应 封 
包 ! 就 这 样 一 直 讲 ! 当然 ， 你 没有 听 到 乌 哥 讲 哈 ， 我 也 不 会 知道 ...] 





2.4.4 网 络 防火 墙 与 OSI 七 层 协定 


由 上 面 的 说 明 当 中 ， 我 们 知道 数据 的 传送 其 实 就 是 封包 的 发 出 与 接受 的 动作 啦 ! 并 且 不 同 的 
封包 上 面 都 有 不 一 样 的 表 头 (header)， 此 外 ， 封 包 上 面 通常 都 会 具有 四 个 基本 的 信息 ， 那 就 
是 socket pair 里 面 提 到 的 『 来 源 与 目的 |P 以 及 来 源 与 目的 端的 port numberJ 。 当 然 啦 ， 如 
果 是 可 靠 性 联机 的 TCP 封包 ， 还 包含 Control Flag 里 面 的 SYN/ACK 等 等 重要 的 信息 呢 ! 好 
了 ， 开 始 动 一 动脑 筋 ， 有 没有 想到 『 网 络 防火 墙 4 的 字眼 啊 ? 


封包 过 滤 式 的 网 络 防火 墙 可 以 抵挡 掉 一 些 可 能 有 问题 的 封包 ，Linux 系统 上 面 是 怎么 挡 掉 封 
包 的 呢 ? 其 实说 来 也 是 很 简单 ， 既 然 封 包 的 表 头 上 面 已 经 有 这 么 多 的 重要 人 信息， 那么 我 就 利 
用 一 些 防火 墙 机 制 与 软件 来 进行 封包 表 头 的 分 析 ， 并 且 设 定 分 析 的 规则 ， 当 发 现 菜 些 特定 的 
IP 、 特 定 的 埠 口 或 者 是 特定 的 封包 信息 (SYN/ACK 等 等 )， 那 么 就 将 该 封包 给 他 丢弃 ， 那 就 是 
最 基本 的 防火 墙 原 理 了 ! 


举例 来 说 ， 大 家 都 知道 Telnet 这 个 服务 器 是 挺 危 险 的 ， 而 Telnet 使 用 的 port number 为 23 
， 所 以 ， 当 我 们 使 用 软件 去 分 析 要 送 进 我 们 主机 的 封包 时 ， 只 要 发 现 该 封包 的 目的 地 是 我 们 
主机 的 port 23 ， 就 将 该 封包 丢掉 去 ! 那 就 是 最 基本 的 防火 墙 案例 啦 ! 如 果 以 OSI 七 层 协议 
来 说 ， 每 一 层 可 以 抵挡 的 数据 有 : 
第 二 层 : 可 以 针对 来 源 与 目标 的 MAC 进行 抵挡 ; 
e 第 三 层 : 主要 针对 来 源 与 目标 的 I|P ， 以 及 ICMP 的 类 别 (type) 进行 抵挡 ; 

第 四 层 : 针对 TCP/UDP 的 堆 口 进行 抵挡 ， 也 可 以 针对 TCP 的 状态 (code) 来 处 理 。 


更 多 的 防火 墙 信息 我 们 会 在 第 九 章 防火 墙 与 第 七 章 认 识 网 络 安全 当中 进行 更 多 的 说 明 喔 ! 


‘ 


2.5 连 上 Internet 前 的 准备 事项 


讲 了 这 么 多 ， 其 实 我 们 最 需要 的 仅 是 『 连 接 上 Internet 」 啦 1 那么 在 Internet 上 面 其 实 使 用 的 
是 TCP/IP 这 个 通讯 协议 ， 所 以 我 们 就 需要 Public IP 来 连接 上 Internet 啊 ! 你 说 对 吧 ~~ 不 

过 ， 你 有 没有 发 现 一 件 事 ， 那 就 是 『 为 啥 我 不 知道 Yahoo 的 主机 IP ， 但 是 俺 的 主机 却 可 以 连 
到 Yahoo 主机 上 ?4 如 果 你 有 发 现 这 个 问题 的 话 ， 哈 哈 ! 你 可 以 准备 开始 设 定 网 络 嘿 一 人 人 ^ 


2.5.1 用 IP 上 网 ?主机 名 上 网 ?DNS 系统 ? 


讲 完了 上 头 的 基本 数据 ， 现 在 你 知道 要 连 上 Internet 就 得 要 有 TCP/IP 才 行 ! ea 
IP 啊 ! 问题 是 ， 计算 机 网 络 是 依据 人 类 的 We ， 不 过 人 类 对 于 IP 这 一 类 的 数字 并 

不 具有 敏感 性 ， 即 使 IP 已 经 被 简化 为 十 进 ， 但 是 人 类 就 是 对 数字 es | 怎么 办 ? 
没关系 ， 反 正 计 算 机 都 有 主机 名 嘛 1 那么 ng 与 他 的 IP 对 应 起 来 ， 未 来 要 连接 上 该 
计算 机 时 ， 只 要 知道 该 计算 机 的 主机 名 就 好 了 ， 因 为 IP 已 经 对 应 到 主机 名 了 嘛 ! 所 以 人 类 也 
容易 记忆 文字 类 的 主机 名 ， 计 算 机 也 可 以 头 由 对 应 来 找到 他 必须 要 知道 的 IP ， 啊 | 站 是 尼 大 


欢喜 啊 ! 


这 个 主机 名 (Hostname) 对 应 IP 的 系统 ， 就 是 易 易 有 名 的 Domain Name System (DNS) 咯 ! 
也 就 是 说 ，DNS 这 个 服务 的 最 大 功能 就 是 在 进行 上 主机 名 与 该 主机 的 IP 的 对 应 」 的 一 项 协 
议 。 DNS 在 网 络 环境 当中 是 相当 常 被 使 用 到 的 一 项 协议 喔 ! 举 个 例子 来 说 ， 像 鸟 哥 我 常常 会 
连 到 奇摩 雅虎 的 WWW ld ， 那么 我 一 定 需 要 将 奇摩 雅虎 的 WWW 网 站 的 
背 下 来 吗 ? 天 呐 ， 鸟 哥 的 忘 性 这 么 好 ， 怎 么 可 能 将 IP 背 下 来 ? ! 不 过 ， 如 果 是 要 将 奇摩 
站 jn 主机 名 背 下 来 的 话 ， 那 a 多 了 ! 不 就 是 http:Wtw.yahoo.com 吗 ? 而 既然 计算 机 主 
机 只 认识 上 而 已 ， 因 此 当 我 在 浏览 器 上 面 输入 了 『http://tw.yahoo.comJ 的 时 后 ， 我 的 计算 
re ti 由 向 DNS 主机 查询 tw.yahoo.com 的 IP 后， 再 将 查询 到 的 IP 结果 回应 给 我 的 
浏览 器 ， 那 么 我 的 浏览 器 就 可 以 藉 由 该 IP 来 连接 上 主机 啦 ! 


发 现 了 吗 ? 我 的 计算 机 必须 要 向 DNS 服务 器 查询 Hostname 对 应 |P 的 信息 喔 ! 和 那么 那 部 
DNS 主机 的 IP 就 必须 要 在 我 的 计算 机 里 面 设 定好 才 行 ， 并 且 必 须要 是 输入 IP 喔 ， 不 然 我 的 
计算 机 怎么 连 到 DNS 服务 器 去 要 求 数 据 呢 ?呵呵 上 在 Linux 里 面 ，DNS 主机 IP 的 设 定 就 是 
在 /etc/resolv.conf 这 个 档案 里 面 啦 ! 


目前 各 大 ISP 都 有 提供 他 们 的 DNS 服务 器 的 IP 给 他 们 的 用 户 ， 好 设 定 客户 自己 计算 机 的 
DNS 查询 主机 ， 不 过 ， 如 果 你 忘记 了 或 者 是 你 使 用 的 环境 中 并 没有 提供 DNS 主机 呢 ? 呵 

呵 | 没有 关系 ， 那 就 设 定 Hinet 那个 最 大 的 DNS 服务 器 吧 ! IP 是 168.95.1.1 咯 ! 要 设 定 好 
DNS 之 后 ， 未 来 上 网 浏览 时 ， 才 能 使 用 主机 名 喔 ! 不 然 就 得 一 定 需要 使 用 IP 才能 上 网 呢 ! 
DNS 是 很 重要 的 ， 他 的 原理 也 顶 复 杂 的 ， 更 详细 的 原理 我 们 在 第 十 九 草 DNS 服务 器 里 面 进 
行 更 多 更 详细 的 说 明 喔 ! 这 里 仅 提 个 大 纲 ! 


2.5.2 一 组 可 以 连 上 Internet 的 必要 网 络 参 数 


从 上 面 的 所 有 说 明 当 中 ， 我 们 知道 一 部 主机 要 能 够 使 用 网 络 ， 必 须要 有 IP ， 而 IP 的 设 定 当 

中 ， 就 必须 要 有 IP Network, Broadcast, Netmask 等 参数 ， 此 外 ， 还 需要 考虑 到 路 由 里 面 的 
Default Gateway 才能 够 正确 的 将 非 同 网 域 的 封包 给 他 传送 出 去 。 另外 ， 考 虑 到 主机 名 与 IP 
的 对 应 ， 所 以 你 还 必须 要 给 予 系统 一 个 DNS 服务 器 的 IP 才 行 ~ 所 以 说 ， 一 组 合理 的 网 络 设 
定 需要 哪些 数据 呢 ? 呵呵 1 就 是 : 


。 IP 

。 Netmask 
e。 Network 
e。 Broadcast 
。 Gateway 
e。 DNS 


由 于 Network 与 Broadcast 可 以 经 由 IP/Netmask 的 计算 而 得 到 ， 因 此 需要 设 定 于 你 
端的 网 络 参数 ， 主 要 就 是 |P Netmask, Default Gateway, DNS 这 四 个 就 是 了 | 


没 错 ! 就 是 这 些 数据 ! 如 果 你 是 使 用 ADSL 技 接 来 上 网 的 话 ， 上 面 这 些 数据 都 是 由 ISP 直接 

给 你 的 ， 那 你 只 要 使 用 拷 接 程序 进行 拨 接 到 ISP 的 工作 之 后 ， 这 些 数据 就 自动 的 在 你 的 主机 
上 面 设 定 完 成 了 ! 但 是 如 果 是 国定 制 (如 学 术 网 络 ) 的 话 ， 那 么 就 得 ee 
定 你 的 主机 鹃 ! 缺 一 不 可 呢 ! 以 192.168.1.0/24 这 个 Class C 为 例 的 话 ， 那 么 你 就 必须 要 在 
你 的 主机 上 面 设 定好 底下 的 参数 : 


e。 IP: 由 192.168.1.1~192.168.1.254 

e。 Netmask: 255.255.255.0 

e。 Network: 192.168.1.0 

e。 Broadcast: 192.168.1.255 

。 Gateway: 每 个 环境 都 不 同 ， 请 自行 询问 网 络 管理 员 
e。 DNS: 也 可 以 直接 设 定 成 168.95.1.1 


2.6 重点 回顾 : 


虽然 目前 的 网 络 媒体 多 以 以 太 网 络 为 标准 ， 但 网 络 媒体 不 只 有 以 太 网 络 而 已 

Internet 主要 是 由 Internet Network Information Center (INTERNIC) 所 维护 ; 

以 太 网 络 的 RJ-45 网 络 线 ， 由 于 568A/568B 接头 的 不 同 而 又 分 为 并 行 线 与 跳 线 ; 

以 大 网 络 上 最 重要 的 传输 数据 为 Carrier Sense Multiple Access with Collision Detect 
(CSMA/CD) 技术 ， 至 于 传输 过 程 当中 ， 最 重要 的 MAC 讯 框 内 以 硬件 地 址 (hardware 
address) 数据 最 为 重要 ; 

透 过 八 蔓 的 网 络 线 (Cat 5 以 上 等 级 )， 现 在 的 以 太 网 络 可 以 支持 全 双 工 模式 ; 

OSI 七 层 协议 为 一 个 网 络 模型 (model) ， 并 非 硬性 规定 。 这 七 层 协议 可 以 协助 软 硬 件 开 
发 有 一 个 基本 的 准则 ， 且 每 一 分 层 独立 ， 方 便 使 用 者 开发 ; 

现今 的 网 络 基础 是 架构 在 TCP/IP 这 个 通讯 协议 上 面 ; 

数据 链 结 层 里 重要 的 信息 为 MAC i Access Control)， 亦 可 称 为 硬件 地 址 ， 而 ARP 
Table 可 以 用 来 对 应 MAC 与 软件 地 址 (IP ) ; 

在 网 络 媒体 方面 ，Hub 为 共享 媒体 ， 因 此 可 能 会 有 封包 碰撞 的 问题 ， 至 于 Switch 由 于 加 
入 了 switch port 与 MAC 的 对 应 ， 因 此 已 经 克服 了 封包 碰撞 的 问题 ， 也 就 是 说 ，Switch 
并 不 是 共享 媒体 ; 

IP 为 32 bits 所 组 成 的 ， 为 了 适应 人 类 的 记忆 ， 因 此 转 成 四 组 十 进 制 的 数据 ; 

IP 主要 分 为 Net ID 与 Host ID 两 部 份 ， 加 上 Netmask 这 个 参数 后 ， 可 以 设 定 『 网 域 J 
的 概念 ; 

根据 IP 网 域 的 大 小 ， 可 将 IP 的 等 级 分 为 A, B, C 三 种 常见 的 等 级 ; 

Loopback 这 个 网 段 在 127.0.0.0/8 ， 用 在 每 个 操作 系统 内 部 的 循环 测试 中 。 

网 域 可 继续 分 成 更 小 的 网 域 (Subnetwork)， 主 要 是 透 过 将 Host ID 借 位 成 为 Net ID 的 技 
术 : 

IP 只 有 两 种 ， 就 是 Public IP 与 Private IP ， 中 文 应 该 翻译 为 公共 IP 与 私有 (或 保留 ) 
IP， 私 有 1IP 与 私有 路 由 不 可 以 直接 连接 到 Internet 上 ; 

每 一 部 主机 都 有 自己 的 路 由 表 ， 这 个 路 由 表 规定 了 封包 的 传送 途径 ， 在 路 由 表 当 中 ， 最 
重要 者 为 默认 的 通讯 用 ( Gateway/Router ) ; 

TCP 协议 的 表 头 数据 当中 ， 那 个 Code (control flags) 所 带 有 的 ACK, SYN, FIN 等 为 常见 
的 旗 标 ， 可 以 控制 封包 的 联机 成 功 与 否 ; 

TCP 与 IP 的 IPaddress/Port 可 以 组 成 一 对 socket pair 

网 络 联 机 都 是 双向 的 ， 在 TCP 的 联机 当中 ， 需 要 进行 客户 端 与 服务 器 端 两 次 的 
SYN/ACK 封包 发 送 与 确认 ， 所 以 一 次 TCP 联机 确认 时 ， 需 要 进行 三 向 交 握 的 流程 ; 
UDP 通讯 协议 由 于 不 需要 联机 确认 ， 因 此 适用 于 快速 实时 传输 且 不 需要 数据 可 靠 的 软件 
中 ， 例 如 实时 通讯 

ICMP 封包 最 主要 的 功能 在 回报 网 络 的 侦 测 状况 ， 故 不 要 使 用 防火 墙 将 他 完全 挡 掉 ; 

一 般 来 说 ， 一 部 主机 里 面 的 网 络 参 数 应 该 具备 有 : IP Netmask, Network, Broadcast， 
Gateway, DNS 等 ; 

在 主机 的 port 当中 ， 只 有 root 可 以 启用 小 于 1024 以 下 的 port ; 


e DNS 主要 的 目的 在 于 进行 Hostname 对 应 |P 的 功能 ; 


2.7 本 草 习 题 


在 ISP 提供 的 网 络 服务 中 ， 他 们 提 到 传输 速度 2 1.5M/382K ， 请 问 这 个 数据 的 单位 为 
何 ? 数据 单位 为 bits/second, 与 惯用 的 bytes 差 8 倍 。 

oe 是 MAC (Media Access Control) ，MAC 主要 的 功能 是 什么 ?Media Access Control 
的 缩写 ， 为 以 太 网 络 硬件 讯 框 的 规格 ， 以 太 网 络 就 是 以 MAC 讯 框 进行 数据 的 传送 。 目 
前 MAC 也 常 被 用 为 以 太 网 络 卡 卡号 的 代称 。 

什么 是 封包 碰撞 ?为 什么 会 发 生 封包 碰撞 ? 当主 机 要 使 用 网 络 时 ， 必 须要 先进 行 
CSMA/CD 监听 网 络 ， 如 果 (1) 网 络 使 用 频繁 (2) 网 络 间隔 太 大 ， 则 可 能 会 发 生 监听 时 均 显 
示 无 主机 使 用 ， 但 发 出 封包 后 却 发 生 同 步 发 送 封包 的 情况 ， 此 时 两 个 封包 就 会 产生 碰 

撞 ， 造 成 数据 损毁 。 

ARP Table 的 作用 为 何 ? 如 何在 我 的 Linux 察看 我 的 ARP 表格 ? ARP 协议 主要 在 分 析 
MAC 与 IP 的 对 应 ， 而 解析 完毕 后 的 数据 会 存在 系统 的 内 存 中 ， 下 次 要 传送 到 相同 的 IP 
时 ， 就 会 主动 的 直接 以 该 MAC 传送 ， 而 不 发 送 广播 封包 询问 整个 网 域 了 。 利用 arp -n 
即 可 

简略 说 明 Netmask 的 作用 与 优点 ; Netmask 可 以 用 来 区 分 网 域 ， 且 Netmask 可 以 有 效 
的 增加 网 络 的 效率 ， 这 是 因为 Netmask 可 以 定义 出 一 个 网 域 的 大 小 ， 那 么 broadcast 的 
时 间 就 可 以 降低 很 多 ! 一 般 来 说 ， 我 们 如 果 要 将 一 个 大 网 域 再 细 分 为 小 网 域 ， 也 需要 大 
由 Netmask 来 进行 subnet 的 切割 。 

我 有 一 组 网 域 为 : 192.168.0.0/28 ， 请 问 这 个 网 域 的 Network, Netmask, Broadcast 各 
为 多 少 ? 而 可 以 使 用 的 IP 数量 与 范围 各 是 多 少 ? 因为 共有 28 个 bits 是 不 可 动 的 ， 所 以 
Netmask 地 址 的 最 后 一 个 数字 为 11110000， 也 就 是 (128+64+32+16=240) ， 所 以 : 
Network : 192.168.0.0 Netmask : 255.255.255.240 Broadcast : 192.168.0.15 IP : 由 
192.168.0.1 ~ 192.168.0.14 共 14 个 可 用 IP 喔 ! 

承 上 题 ， 如 果 网 域 是 192.168.0.128/29 呢 ? 因为 是 29 个 bits 不 可 动 ， 所 以 最 后 一 个 
Netmask 的 地 址 为 : 11111000 也 就 是 (128+64+32+16+8=248)， 所 以 : Network : 
192.168.0.128 Netmask : 255.255.255.248 Broadcast : 192.168.0.135 IP :由 
192.168.0.129 ~ 192.168.0.134 共 6 个 可 用 的 IP 喔 ! 


我 要 将 192.168.100.0/24 这 个 Class C 的 网 域 分 为 4 个 子 域 ， 请 问 这 四 个 子 域 要 如 何 表 
示 ? 既然 要 分 为 四 个 网 域 ， 也 就 是 还 需要 藉 助 Netmask 的 两 个 bits (2 的 2 次 方 为 4 

啊 !1)， 所 以 Netmask 会 变 成 255.255.255.192 ， 每 个 子 域 会 有 256/4=64 个 IP ， 而 必 
须要 扣除 Network 与 Broadcast ， 所 以 每 个 子 域 会 有 62 个 可 用 IP 喔 ! 因此 ， 四 个 子 域 
的 表示 方法 为 : 192.168.100.0/26, 192.168.100.64/26, 192.168.100.128/26， 
192.168.100.192/26 。 


如 何 观 察 Linux 主机 上 面 的 路 由 信息 (route table)? 路 由 信息 的 观察 可 以 下 达 route 来 直 
接 察看 ! 或 者 是 下 达 route -n 亦 可 

TCP 封包 上 面 的 SYN 与 ACK 标志 代表 的 意义 为 何 ? SYN 代表 该 封包 为 该 系列 联机 的 第 
一 个 封包 ， 亦 即 是 主动 联机 的 意思 ; ACK 则 代表 该 封包 为 确认 封包 ， 亦 即 是 回应 封包 


什么 是 三 向 交 握 ? 在 哪 一 种 封包 格式 上 面 才 会 有 三 向 交 握 ?使 用 TCP 封包 才 会 有 三 向 交 
握 。TCP 封包 的 三 向 交 握 是 一 个 确认 封包 正确 性 的 重要 步骤 ， 通 过 SYN, SYN/ACK,， 
ACK 三 个 封包 的 确认 无 误 后 ， 才 能 够 建立 联机 。 至 于 UDP 封包 则 没有 三 向 交 握 喔 ! 


试 说 明和 何谓 有 网 管 ? 无 网 管 的 switch ? 此 外 ， 这 些 switch 的 硬件 应 算 在 OSI 七 层 协议 
的 第 几 层 ? 有 了 网 管 者 ， 会 在 swe 内 部 加 入 其 他 的 小 型 OS， 和 藉以 控 管 IP 或 MAC 的 流 
通 ; 通常 基础 的 switch 仅 达 控 管 MAC ， 故 为 OSI 第 二 层 (数据 链 结 层 ) 
为 何 ISP 有 时 候 会 谈 到 『 申 请 8 个 IP ， 其 中 只 有 5 个 可 以 用 3 ， 你 觉得 问题 出 在 哪 
里 ? 如 果 以 网 域 的 观念 来 看 ， 他 的 netmask 会 是 多 少 ? 因为 如 果 是 一 个 网 域 的 话 ， 那 么 
八 个 IP 前 后 (Host ID 全 为 0 与 1 的 条 件 ) 为 Network 及 Broadcast ， 加 上 一 个 在 ISP 
处 的 Gateway ， 所 以 仅 有 5 个 可 以 用 。 因 为 有 8 个 IP， 所 以 其 netmask 后 八 bits 为 
11111000 ， 故 为 255.255.255.248 。 
Internet 协议 中 共 包 含 "Network Access Layer", "Internet Layer", "Transport Layer", 
"Application Layer" ， 请 将 这 四 层 与 OSI 七 层 协议 的 内 容 进 行 连结 (自行 上 网 查询 相关 文 
章 说 明 ) ; Network Access Layer: 涵盖 Data-Link 及 Physical Layer Internet Layer: 也 是 
Network Layer Transport Layer: 也 是 Transport Layer Application Layer: 涵盖 
Appleshon Layer, Persentatin Layer, Session Layer. 

请 自行 上 网 查询 关于 NetBIOS 这 个 通讯 协议 的 相关 理论 基础 ， 并 请 说 明 NetBIOS 是 否 
ee ?请 自行 参考 网 中 人 的 网 络 基础 文章 
什么 是 Socket pair ? 包含 哪些 基本 数据 ?由 IP 封包 的 IP address 与 TCP 封包 的 port 
number 达成 ， 分 别 为 目的 端的 IP/port 与 本 地 端的 |P/port 。 
IP 有 一 段 A Class 的 网 段 分 给 系统 做 为 测试 用 ， 请 问 该 网 段 为 ? 设 定 的 名 称 为 ? 
127.0.0.0/8, loopback 
ICMP 这 个 协议 最 主要 的 目的 为 ? 同时 做 为 『 响 应 」 的 类 别 为 第 几 类 ?做 为 网 络 检测 之 
用 ， 为 第 8 类 (echo request) 
IP 封包 表 头 有 个 TTL 的 标志 ， 请 问 该 标志 的 基本 说 明 为 何 ? 其 数据 有 何 特 性 ?为 该 封包 
的 存活 时 间 ， 该 时 间 每 经 过 一 个 node 都 会 减少 一 ， 当 TTL 为 0 时 ， 该 封包 会 被 路 由 器 
所 丢弃 。 该 数据 最 大 为 255。 
在 Linux 当中 ， 如 何 查询 每 个 port number 对 于 服务 的 对 应 (filename)/etc/services 档案 
中 有 纪录 
什么 是 星 形 联机 ? 优点 为 何 ? 利用 一 hub/switch 链接 所 有 的 网 络 设备 的 一 种 联机 方式 ， 
最 大 的 好 处 是 ， 每 个 『 网 络 设备 与 Switch 之 间 J 都 是 独立 的 ， 所 以 所 以 每 个 主机 故障 时 
均 不 会 影响 其 他 主机 的 联机 。 
请 说 明 CSMA/CD 的 运作 原理 ? 发送 流程 


1. 主机 欲 使 用 网 络 时 ， 会 先 监听 网 络 ， 若 网 络 没 有 被 使 用 时 ， 才 会 准备 传送 ， 否 则 继 


续 监听 ; 
2， 当 数据 传送 钟 ， 发 现 有 碰撞 情况 时 ， 则 会 重新 监听 网 络 ， 并 且 重 新 发 送 一 次 该 封 
包 ; 


3. 若 重 复发 生 碰撞 16 次 ， 则 网 络 会 次 痰 ; 
接收 流程 


.主机 如 果 没 有 在 传送 数据 ， 则 会 监听 网 络 ， 并 且 主 动 在 接收 的 状态 下 ; 

若 接 收 到 一 个 封包 ， 并 且 该 表 头 所 载 MAC 为 本 身 的 网 卡 卡 号 ， 则 开始 接收 该 封包 
否则 将 该 封包 丢弃 ; 
， 接收 过 程 当 中 如 果 发 生 封 包 碰 接 ， 则 会 通知 原 发 送 主机 碰撞 的 数据 ; 


.封包 接收 完毕 后 ， 会 以 MAC 表 头 所 载 长 度 同时 分 析 本 封包 长 度 ， 若 发 生 问题 ， 则 会 


通知 对 方 重 新 传送 。 


2.8 参考 数据 与 延伸 阅读 


特别 感谢 : 本 文 在 2002/07 发 出 之 后 ， 收 到 相当 多 朋友 的 关心 ， 也 从 而 发 现 了 自己 误会 的 一 
些 基 础 的 网 络 理论 ， 昌 的 是 感谢 好 朋友 Netman 兄 与 ZMAN 兄 的 指导 |! 这 篇 短文 在 第 二 版 时 
(2003/08/03) 做 了 相当 大 幅度 的 修订 ， 与 原来 的 文章 (上 次 更 新 日 期 2002/09) 已 经 有 一 定 程 
度 的 差异 了 ， 第 三 版 又 针对 整个 内 容 与 阅读 顺序 进行 调整 (2010/08)， 和 项 望 网 友 们 如 果 有 时 间 
的 话 ， 能 够 再 次 的 阅读 ， 以 厘清 一 些 基本 概念 喔 ! 


。 注 1 : 粘 添 寿 着 ，『Internet 网 络 原理 与 实务 」， 旗 标 出 版 社 。 

。 注 2 : Robert Breyer & Sean Riley 着 ， 风 信子 , 张 民 人 译 ，『Switched & Fast 以 太 网 
络 」， 旗 标 出 版 社 

。 注 3 : IEEE 标准 的 网 站 连结 : http://standards.ieee.org/ 

。 注 4 : Request For Comment (RFC) 技术 文件 : http://www.rfc-editor.org/ 

。 注 5 ; RFC-1122 标准 的 文件 数据 : ftp://ftp.rfc-editor.org/in-notes/rfc1122.txt 

。 注 6 : 粘 添 寿 老师 官网 : http://www.tsnien.idv.tw/, 因特网 相关 课 
程 : http://120.118.165.46/tsnien/network/index.html( 强 烈 建 议 前 往 参 阅 ) 

e 注 7 : 台湾 学 术 网 络 简介 (TANET) : http://www.edu.tw/moecc/content.aspx? 
site_content_sn=1707 

。 注 8 : Study Area 之 网 络 基 础 : http://www.study-area.org/network/network.htm 

。 注 9 : 维基 百科 对 OSI 协定 的 说 明 : http://en.wikipedia.org/Wiki/OS|_model 

。 注 10 : Phil Dykstra, Gigabit Ethernet Jumbo Frames : 
http://sd.wareonearth.com/~phil/jumbo.html 

。 注 11 : Hub 与 Switch 的 迷 思 : http://www.study-area.org/tips/hub_switch.htm 
http://www.iana.org/, http://en.wikipedia.org/Wwiki/IPv4 

。 注 13 : 管理 IP 的 单位 : http://www.iana.org/, 台湾 地 区 IP 核发 情 
兄 : http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp? 
Order=inet_aton(Startip) 

e 注 14 : 相关 参考 数据 『TCPJ/IP lllustrated, Volume 1 - The Protocols〗 ，W. Richard 
Stevens ， 资 策 会 中 文化 部 门 译 ; http://en.wikipedia.org/wiki/Classless_Inter- 
Domain_Routing 

。 PPPoE http://en.wikipedia.org/wiki/Point-to-Point_ Protocol over_ Ethernet 


2002/07/18 : 第 一 次 完成 日 期 ! 2002/09/26 : 修改 了 部 分 可 能 引起 误解 的 文章 部 分 ! 

2003/08/03 : 重新 编排 版 面 ， 并且 重新 检视 文章 内 容 ， 修 订 文 章 ! 2003/08/20 : 增加 重点 回 
顾 与 课 后 练习 2003/09/06 : 加 入 参考 用 解答 2004/03/16 : 修订 N-Way 的 错误 ， 订 正 为 Auto 
MDI/MDIX 的 功能 ! 2006/02/09 : 将 目的 文章 移动 到 此 处 2006/07/12 : 参考 了 粘 教 授与 风 信 
子 兄 的 书籍 ， 修 改 了 很 多 基础 数据 喔 ! 还 有 重点 整理 ， 不 过 ， 练 习 尚未 更 新 2006/07/16 : 加 


入 习题 练习 史 1 2007/10/21 : 图 14 那 个 UDP 的 表 头 资料 中 ，16 bits 误 植 为 16 bytes， 感 谢 
讨论 区 ricky.liu 的 告知 ! 2008/04/21 : 经 由 网 友 chyanlong 兄 的 指点 ，|HL 的 大 小 单位 误 植 
为 byte， 应 该 是 字 组 (word) 才 对 。 2010/07/22 : 将 基于 CentOS4.x 所 写 的 数据 放置 于 此 处 
2010/08/15 : 将 章节 依据 TCP/IP 相关 的 层级 分 别 介绍 ， 更 改 的 幅度 不 小 喔 ! 2011/07/15 : 
将 基于 CentOS 5.x 所 撰写 的 文章 移动 到 此 处 2013/07/23 : 修订 重点 回顾 CSMA 单 字 的 错误 ， 
Sense 误 植 访 Sence， 感 谢 mubiale 告 知 。 by white 


第 三 草 、 局 域 网 络 架构 简介 


最 近 更 新 日 期 : 2011/07/15 


在 这 一 章 当中 ， 我 们 会 继续 讨论 在 一 个 小 型 企业 或 家 庭 里 面 的 小 型 局 域 网 络 规划 ， 以 让 的 所 

有 计算 机 主机 都 可 以 直接 利用 以 太 网 络 进行 数据 的 连接 啊 | 一 般 来 说 ， 内 部 局 域 网 络 都 希望 

直接 使 用 私有 |P 来 设 定 沟通 环境 ， 直 接 以 简单 的 星 形 联机 做 为 网 络 施工 的 主要 类 型 ， 底 下 就 
来 读 一 谈 如 何 规划 你 主机 在 星 形 联机 所 应 该 要 放置 的 状态 。 最 终 我 们 也 列 出 本 书 所 需要 的 局 

域 网 络 联机 架构 图 喔 |! 


e 3.1 局 域 网 络 的 联机 
o 3.1.1 局 域 网 络 的 布线 规划 
o 3.1.1-1 Linux 直接 联网 -与 PC 同 地 位 
o 3.1.1-2 Linux 直接 联网 -与 一 般 PC 分 开 网 域 
o 3.1.1-3 Linux 直接 联网 -让 Linux 直接 管理 LAN 
o 3.1.1-4 Linux 放 在 防火 墙 后 -让 Linux 使 用 Private IP 
o 3.1.2 网 络 媒体 选 购 建议 
e 3.2 本 书 使 用 的 内 部 联机 网 络 参 数 与 通讯 协议 
o 3.2.1 联机 参数 与 通讯 协议 
o 3.2.2 Windows 个 人 计算 机 网 络 设 定 范 例 
。 3.3 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=112104 


3.1 局 域 网 络 的 联机 


谈 完 了 第 二 章 网 络 基 础 后 ， 现 在 就 让 我 们 实际 的 来 将 家 里 或 者 小 型 企业 内 部 的 全 部 计算 机 给 
他 连接 起 来 吧 | 当然 啦 ， 我 们 这 里 主要 介绍 的 是 小 型 局 域 网 络 的 架构 ， 如 果 是 比较 大 型 的 企 
业内 部 ， 那 么 将 『 配 线 盘 、 线 路 设计 、 墙 上 网 络 孔 」 分 别 拆 开 施工 的 结构 化 布线 会 比较 妥 

当 。 不 过 ， 结 构 化 布线 并 非 本 文 所 想 要 讨论 的 ， 如 果 你 的 企业 有 需求 的 话 ， 可 以 向 专业 人 士 
寻求 协助 ， 举 例 来 说 ， 酷 学 园 (http://phorum.study-area.org) 的 ZMAN 兄 就 是 一 位 很 棒 的 网 络 
布线 专家 。 无 论 如 何 ， 先 来 将 所 有 的 网 络 硬件 联机 起 来 吧 ! 


3.1.1 局 域 网 络 的 布线 规划 


从 前 一 章 的 数据 探讨 中 ， 你 现在 应 该 已 经 知道 局 域 网 络 的 定义 了 。 大 部 分 狭义 的 定义 中 ， 都 
将 局 域 网 络 定位 在 一 个 以 星 形 联机 连接 的 实体 网 络 中 ， 再 透 过 IP 网 段 来 连接 在 一 起 的 情况 。 
所 以 啦 ， 这 个 联机 是 怎么 连接 在 一 块 的 ， 以 及 |IP 网 段 是 如 何 规划 的 ， 就 显 的 非常 重要 嘿 | 


记得 以 前 听 ZMAN 大 哥 某 场 演 讲 的 时 候 提 到 ， 网 络 布线 是 『 数 十 年 大 计 J 中 最 重要 的 一 环 ， 
因为 『 服 务 器 主机 能 力 不 够 时 换 主机 就 好 了 ，Switch 交换 力 不 足 时 换 Switch 就 好 了 ， 但 如 果 
布线 不 良 ， 难 道 要 拆 掉 房子 将 管线 挖 出 来 重新 实 装 设 定 ?J」 所 以 说 ， 最 初 规划 的 布线 严谨 度 
监 的 会 影响 到 未 来 网 络 的 分 布 情况 啊 ! 


所 以 说 ， 如 果 你 的 企业 『 整 栋 大 楼 需要 重新 布线 〗 时 ， 卜 的 非常 建议 你 务必 要 找寻 专业 网 络 
布线 专家 帮忙 设计 规划 ， 因 为 连 一 个 小 小 的 机 柜 配 线 箱 都 有 大 学 问 一 设计 的 好 的 话 ， 每 部 独 
立 的 主机 要 改线 路 、 要 换 插 孔 都 变 的 很 简单 ! 而 且 主机 到 墙 上 插 孔 的 距离 也 会 变 的 很 短 ， 维 
护 也 会 很 方便 ! 线段 也 会 很 美观 | 当然 啦 ， 如 此 一 来 ， 网 络 线材 的 选择 也 就 不 能 够 用 太 差 

的 | 而 且 网 络 布线 经 过 折 角 区 时 ， 也 需要 特别 留意 施工 响 。 


但 是 本 文 讨论 的 是 一 些 比较 小 的 局 域 网 络 环境 ， 这 样 的 环境 可 以 是 在 一 间 办 公 室内 而 已 ， 所 
以 我 们 这 里 谈 到 的 大 多 是 比较 单纯 的 布线 状态 ， 并 没有 考虑 到 办 公 室 外 部 的 环境 ， 所 以 参考 
本 文 时 ， 请 特别 留意 这 种 差异 性 喔 ! 


在 这 样 单纯 的 环境 中 ， 我 们 可 以 利用 一 个 以 switch 为 中 心 来 串 连 所 有 设备 的 星 形 联机 (star 
topology) 架构 来 设计 我 们 的 局 域 网 络 啊 1 在 这 样 的 环境 中 你 需要 担心 的 是 『 那 我 的 Linux 服 
务 器 要 放 在 那个 地 方 ?4 会 考虑 Linux 服务 器 是 因为 鸟 哥 假设 你 需要 在 你 的 局 域 网 络 内 架设 
对 Internet 开放 网 络 的 服务 ! 而 Linux 是 否 具 有 Public IP 对 于 主机 的 维护 与 设 定 的 复杂 度 有 
很 大 的 影响 ， 所 以 当然 需要 考虑 哩 1 底下 鸟 哥 以 目前 在 台湾 挺 流行 的 ADSL 利用 电话 线路 上 
网 的 环境 来 说 明 几 种 联机 状态 。 


在 底下 的 环境 当中 ， 乌 哥 假设 我 们 仅 有 一 条 ADSL 的 对 外 联机 ， 也 就 是 说 ， 我 们 的 Linux 与 
一 般 PC (不 论 何 种 操作 系统 ) 都 是 透 过 同一 条 线 连 到 Internet 上 面 去 的 。 


3.1.1-1 Linux 直接 联网 -与 PC 同 地 位 


如 果 你 使 用 的 ADSL 是 多 IP 的 条 件 (例如 拨 接 可 以 给 予 2-8 个 IP 的 情况 )， 那 么 最 简单 的 方 
式 就 是 如 下 图 的 联机 模式 : 
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图 3.1-1、Linux 服务 器 取 
得 public IP 的 联机 方式 之 一 (具有 多 个 可 用 IP 情况 ) 


在 这 种 联机 模式 当中 ，Linux 与 一 般 PC 或 打印 机 都 是 同等 地 位 ， 并 没有 谁 比较 『 大 尾 ! 4 
^ ^ 如 果 不 急 着 连 上 Internet 时 ， 那 么 每 个 设备 都 给 予 一 个 同 网 域 的 私有 IP 就 可 以 进行 网 络 
联机 的 工作 了 ， 你 也 可 以 很 快乐 的 使 用 打印 机 或 者 是 网 络 上 的 芳 邻 等 等 工作 。 此 外 ，Linux 
服务 器 也 可 以 作为 内 部 的 文件 服务 器 或 者 是 打印 机 服务 器 等 等 。 


当 需 要 连 上 Internet 时 ， 每 部 计算 机 (包括 PC 与 Linux 主机 ) 都 可 以 自己 直接 透 过 拨 接 连 
上 ， 而 由 于 拨 接 是 在 每 部 机 器 上 面 『 额 外 增加 一 个 实体 的 ppp0 接口 ] ， 此 时 ， 你 的 系统 内 
就 会 有 两 个 可 以 使 用 的 IP 了 (一 个 是 public 一 个 是 private IP)。 因 此 ， 拨 接 上 网 之 后 每 部 主 
机 还 是 可 以 使 用 原 有 的 局 域 网 络 内 的 各 项 服务 ， 而 无 须 更 动 原本 设 定 受 当 的 私有 IP 。 这 样 的 
情况 对 于 一 般 家 庭 使 用 者 来 说 ， 可 以 算是 最 佳 的 解决 方案 啦 ! 因为 如 果 你 的 Linux 主机 挂 点 
时 ， 其 他 个 人 的 PC 是 不 会 被 影响 的 | 


不 过 这 样 的 环境 对 于 小 型 企业 主 来 说 ， 却 不 好 管理 。 因 为 无 法 掌握 每 个 员工 实际 上 网 的 情 
况 ， 而 且 对 于 防火 墙 来 说 ，『 根 本 就 是 一 个 没有 防火 墙 的 环境 上 1， 所以， 是 没有 办 法 对 员工 
进行 任何 实际 网 络 的 掌控 的 ， 并 且 由 于 网 络 内 外 部 (LAN 与 外 部 环境 ) 并 没有 明确 的 分 开 ， 网 
管 人 员 对 于 进入 客户 端的 封包 是 没有 任何 管理 的 能 力 ， 所 以 对 于 网 络 安全 来 说 ， 是 很 难 管 控 
的 一 种 环境 啊 ! 因此 对 于 企业 来 说 ， 不 建议 这 种 环境 。 


3.1.1-2 Linux 直接 联网 -与 一 般 PC 分 开 网 域 


如 果 你 有 多 个 可 用 的 public IP ， 并 且 你 的 Linux 服务 器 主要 是 提供 Internet 的 WWW 或 mail 
服务 ， 而 不 是 作为 内 部 的 文件 服务 器 之 用 ， 那 么 将 Linux 服务 器 与 内 部 的 网 域 分 开 也 是 个 可 
行 的 方法 ， 而 且 Linux 拥有 public IP， 在 设 定 与 维护 上 面 也 不 困难 ， 如 下 所 示 : 
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图 3.1-2、Linux 
服务 器 取得 public IP 的 联机 方式 之 二 (具有 多 个 可 用 IP 情况 ) 


所 有 的 LAN 内 的 计算 机 与 相关 设备 都 会 在 同一 个 网 域内 ， 所 以 在 LAN 内 的 传输 速度 是 没有 
问题 的 ， 此 外 ， 这 些 计 算 机 要 连 出 至 Internet 时 ， 必 须要 透 过 IP 分 享 器 ， 所 以 你 也 可 以 在 IP 
分 享 器 上 面 设 定 简单 的 防火 墙 规则 ， 如 果 |P 分 享 器 可 以 换 更 高 阶 的 设备 时 ， 那 么 你 就 可 以 在 
该 设备 上 面 架 设 规则 较为 完整 的 防火 墙 ， 对 于 内 部 主机 有 相当 程度 的 管理 ， 并 且 好 维护 啊 ! 


3.1.1-3 Linux 直接 联网 -让 Linux 直接 管理 LAN 


如 果 你 不 想 要 购买 |P 分 享 器 的 话 ， 那 么 直接 利用 Linux 服务 器 来 管理 就 好 了 啊 | 那么 你 可 以 
这 样 布线 : 
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图 3.1-3、 让 
Linux 管理 LAN 的 布线 情况 


这 种 情况 下 ， 不 论 你 有 多 少 个 IP 都 可 以 适用 的 ， 尤 其 是 当 你 只 有 一 个 public IP 时 ， 就 非得 使 
用 这 种 方式 不 可 了 。 让 Linux 作为 IP 分 享 器 的 功能 相当 的 简单 ， 同 时 Linux 必须 具备 两 张 网 
络 卡 ， 分 别 是 对 外 与 对 内 ， 由 于 Linux 依旧 具有 public IP ， 所 以 在 服务 器 的 设 定 与 维护 上 相 
当 的 简单 ， 同 时 Linux 服务 器 可 以 做 为 内 部 网 域 对 外 的 防火 墙 之 用 ， 由 于 Linux 防火 墙 的 效能 
挺 不 错 加 上 设 定 也 很 简单 ， 功 能 却 也 是 很 不 错 的 1 因此 ， 网 络 管理 人 员 也 较 能 进行 较 完 善 的 
掌控 ， 并 且 ，Linux 服务 器 也 要 比 高 阶 的 硬件 防火 墙 便宜 多 了 ! ^ ^ 鸟 哥 个 人 是 比较 喜好 这 
种 方式 的 联机 啦 ! 


不 过 ， 我 们 都 知道 『 服 务 器 提供 的 网 络 服务 越 单纯 越 好 」 ， 因 为 这 样 一 来 主机 的 资源 可 以 完 
全 被 某 个 程序 所 使 用 ， 不 会 互相 影响 ， 而 且 当主 机 被 攻击 时 ， 也 比较 能 够 立即 了 解 是 那个 环 
节 出 了 问题 。 但 是 如 同 图 3.1-3 的 状况 来 说 的 话 ， 由 于 内 部 的 LAN 是 需要 通过 Linux 才能 联 
机 出 去 ， 所 以 Linux 挂 点 时 ， 整 个 对 外 联机 就 挂 了 ， 此 外 ，Linux 的 服务 可 能 就 太 复杂 了 点 ， 
可 能 会 造成 维护 上 的 困难 度 。 但 对 于 小 型 区 网 来 说 ， 图 3.1-3 这 种 架构 还 是 可 以 应 付 的 来 的 
只 | 


3.1.1-4 Linux 放 在 防火 墙 后 -让 Linux 使 用 Private IP 


我 们 可 以 将 Linux 服务 器 放 在 LAN 后 面 喔 ! 瞎 密 ?我 们 的 Linux 主机 放 在 LAN 里 面 2 有 没有 
搞 错 啊 ? 没 搞 错 啊 ~- 比较 大 型 的 企业 通常 会 将 他 们 的 服务 器 主机 放置 在 机 房 内 ， 主 要 是 在 
LAN 的 环境 下 ， 再 透 过 防火 墙 的 封包 重新 导向 的 功能 ， 将 来 自 Internet 的 封包 先 经 过 防火 墙 
后 才 进 入 到 服务 器 ， 如 此 一 来 可 在 防火 墙 端 就 艳 掉 一 堆 英 名 其 妙 的 侦 测 与 攻击 ， 当 然 会 比较 
安全 啊 ! 这 种 架构 还 依 防火 墙 的 多 寒 而 又 可 分 为 非 军 事 区 (DMZ) 的 配置 ， 不 过 ， 太 麻烦 了 和 ~ 
不 建议 初学 者 直接 使 用 。 底下 我 们 仅 介 绍 较 简 单 的 架构 来 说 明 : 
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图 3.1-4、Linux 
主机 放 在 LAN 里 面 的 布线 情况 

这 里 我 们 以 一 个 较 简 单 的 图 示 来 说 明 ， 所 以 利用 的 还 是 IP 分 享 器 ， 可 能 的 话 ， 你 可 以 将 IP 
分 享 器 换 成 Linux 主机 来 架设 防火 墙 ， 也 是 一 个 不 错 的 选择 啊 ! 反正 现在 计算 机 天 天 在 升 
级 ， 升 级 后 的 昌 配 备 其 实 就 可 以 作为 Linux 防火 墙 之 用 了 ! 反正 防火 墙 又 不 需要 什么 硬盘 与 


强 效 的 显示 或 者 CPU ， 只 要 有 不 错 的 网 络 接口 就 能 够 达到 不 错 的 防火 墙 效能 了 。 


不 过 这 里 得 再 次 的 强调 ，Linux 服务 器 主机 若 放 在 LAN 里 面 (使 用 private IP)， 则 当 你 要 对 
Internet 提供 网 络 服务 时 ， 防 火 墙 的 规则 将 变 的 相当 复杂 ， 因 为 需要 进行 封包 转 递 的 任务 ， 
在 某 些 比 较 麻烦 的 协议 当中 ， 可 能 会 造成 设 定 方面 的 困扰 。 所 以 ， 在 你 初 接触 Linux 服务 器 
时 ， 不 建议 新 手 使 用 这 种 联机 架构 ， 避 免 由 于 失去 信心 而 没有 动力 学 习 ~(@_@)。 


每 种 联机 的 方式 都 有 其 适用 的 使 用 者 群 ， 所 以 没有 那个 是 比较 好 的 ， 完 全 是 看 你 自己 的 网 络 
环境 而 定 喔 | OK ! 我 们 现在 知道 要 连 上 以 太 网 络 组 成 的 局 域 网 络 ， 就 得 要 有 网 络 卡 、 网 络 
线 、 网 络 集中 媒体 (hub/switch) 、 连 上 Internet 的 调制 解 调 器 等 等 ， 在 这 里 鸟 哥 将 防火 墙 、 路 
由 器 等 等 设备 归 类 为 主机 ， 因 为 基本 上 ， 这 些 组 件 内 部 一 定 会 含有 一 个 网 络 卡 ， 只 是 操作 系 
统 的 精简 程度 与 软件 功能 的 不 同 就 是 了 。 那么 这 些 所 需要 的 网 络 硬件 又 该 如 何 挑选 呢 ? 


3.1.2 网 络 媒 体 选 购 建 议 


在 开始 底下 的 介绍 之 前 ， 你 必须 要 对 于 跳 线 、 并 行 线 、RJ-45 网 络 线 、Hub/Switch 的 优 劣 等 
等 有 一 定 程度 的 了 解 ， 请 再 前 往 第 二 章 网 络 基础 看 一 看 。 此 外 ， 不 在 我 们 局 域 网 络 内 的 设 
备 ， 例 如 调制 解 调 器 ， 那 就 得 向 你 的 ISP 询问 了 ! 一 般 来 说 ， 调 制 解 调 器 是 中 华电 信 提 供给 
用 户 的 ， 然 而 由 于 『 中 华电 信 因 为 不 同 批 次 安装 的 调制 解 调 器 模块 不 同 ， 所 以 会 有 不 一 样 的 
连接 与 线材 处 理 方式 | ( 跳 线 与 并 行 线 的 差异 喔 ! ) 所 以 请 特别 向 你 的 ISP 询问 才 行 。 底 下 
主要 针对 局 域 网 络 内 的 网 络 媒体 来 进行 介绍 与 说 明 。 


。 主机 硬件 系统 : 考虑 使 用 年 限 、 省 电 、 虚 拟 技 术 等 


过 去 我 们 都 觉得 日 的 计算 机 拿 来 安装 Linux ， 作 为 一 个 Linux server 拉 不 错 。 后 来 鸟 哥 
发 现 ， 很 多 旧 计 算 机 其 实 已 经 超过 使 用 年 限 ， 硬 要 使 用 有 点 问题 ， 因 为 电子 零件 恐怕 会 
撑 不 了 太 久 的 运作 时 间 。 而 且 ， 某 些 时 刻 生 产 的 主机 其 实 非常 耗 电 ! 现在 我 们 都 强调 要 
节能 减 碳 嘛 上 所以， 可 以 购买 省 电 型 的 计算 机 主机 ， 并 且 CPU 含有 虚拟 化 能 力 的 更 
好 。 如 此 一 来 ， 不 但 比较 省 电 ， 而 且 一 部 主机 可 以 透 过 虚拟 化 的 功能 ， 仿 站 出 多 部 操作 
系统 同时 运作 的 环境 ， 丨 正 达 到 节能 减 碳 的 目的 ， 那 样 也 是 很 好 的 选择 啊 ! 


不 过 ， 选 购 什 么 主机 配备 与 该 主机 即将 运作 的 服务 其 实 是 有 关系 的 ， 例 如 防火 墙 系统 与 
DHCP 等 服务 并 不 需要 很 强 的 主机 ， 但 是 Proxy 及 SQL 等 服务 器 就 得 要 强 而 有 力 的 主 
机 系统 ， 其 至 得 要 磁盘 阵列 的 辅助 会 比较 好 | 鸟 哥 在 后 续 的 章节 所 要 介绍 的 服务 ， 大 多 
仅 是 企业 内 部 或 者 是 外 部 很 轻松 的 服务 ， 并 不 需要 什么 强 效 的 主机 系统 ， 因 此 目前 的 双 
核心 入 门 级 机 种 ， 已 经 非常 棒 了 |! 所 以 哩 ， 花 太 多 时 间 在 介绍 主机 硬件 就 变 的 没有 什么 
意义 ! 你 只 要 记得 ， 新 购买 主机 时 ， 最 好 选 有 伪 指 令 集 的 CPU 即 可 。 


。 Linux 操作 系统 : 考虑 稳定 、 可 网 络 升级 、 能 够 快速 取得 协助 支持 


你 可 以 将 目前 的 distribution 分 成 两 大 类 ， 一 类 是 多 功能 新 鲜 货 ， 例 如 Fedora ， 一 种 是 
强调 性 能 稳定 但 软件 功能 较 昌 的 企业 用 途 货 ， 包 括 RHEL, CentOS, SuSE 及 B2D 等! 


一 般 来 说 ， 我 们 会 建议 你 如 果 想 要 架设 服务 器 时 ， 尽 量 选择 『 稳 定性 较 高 的 企业 版 」 较 
佳 ， 因 为 功能 新 且 强 的 版 本 例如 Fedora 由 于 太 强 调 新 鲜 货 ， 所 以 核心 与 软件 的 变动 情 
况 较 为 频繁 ， 那 就 很 容易 造成 一 些 困扰 ， 因 为 很 多 用 户 自行 安装 的 软件 可 能 无 法 在 新 的 
核心 上 面 跑 ， 所 以 ， 只 要 核心 一 升级 ， 哇 ! 很 多 需要 编译 的 软件 就 都 需要 再 重新 编译 
过 ! 有 点 麻烦 就 是 了 。 


由 于 鸟 哥 用 惯 了 RPM 以 及 Red Hat 系统 的 关系 ， 所 以 在 这 里 推荐 你 使 用 
RHEL/CentOS/SuSE 这 几 个 Linux distributions， 因 为 他 够 稳定 且 设 定 上 面 不 难 。 不 过 ， 
里 面 的 软件 版 本 可 能 就 不 会 是 最 新 的 ， 这 点 你 可 能 就 得 要 自行 设法 嚼 ! 比较 特别 的 是 
CentOS， 他 不 但 标榜 完全 相同 于 RHEL ， 并 且 可 以 直接 透 过 yum 这 个 软件 进行 完整 版 
本 的 网 络 升级 ， 既 不 会 影响 到 原 有 的 设 定 ， 升 级 时 所 花费 的 时 间 又 短 ， 所 以 ， 目 前 乌 哥 
都 是 以 这 个 版 本 来 进行 服务 器 的 架设 啊 ! 


。 网 络 卡 : 考虑 服务 器 用 途 、 内 建 与 否 、 驱 动 程序 的 取得 等 


囊 


一 般 来 说 ， 目 前 的 新 主机 几乎 都 是 内 建 gigabit 的 以 太 网 络 卡 了 ， 所 以 你 不 需要 额外 购买 
网 络 卡 。 不 过 ， 使 用 内 建 的 网 络 卡 时 ， 你 得 要 注意 到 该 网 络 卡 是 否 为 特殊 的 网 络 芯 片 ， 
根据 以 往 的 经 验 ， 内 建 的 网 络 卡通 常 是 芯片 较 特 殊 的 ， 所 以 可 能 导致 Linux 预 设 的 网 卡 
驱动 程序 无 法 顺利 的 驱动 该 网 络 卡 ， 那 就 比较 累 了 一 因为 你 必须 要 额外 的 安装 网 卡 驱 动 
程序 之 后 ， 才 能 够 顺利 的 使 用 该 款 网 络 卡 哩 。 


如 果 是 想 要 作为 Linux 服务 器 的 话 ， 那 么 你 的 网 络 卡 可 能 必须 要 购买 好 一 点 的 。 举 例 来 
说 ， 某 些 主板 内 建 便宜 的 gigabit 网 络 接口 ， 但 越 便宜 的 网 络 接口 可 能 会 造成 损耗 较 多 的 
CPU 资源 ， 如 果 能 够 购买 类 似 Intel/3Com 等 知名 品牌 的 gigabit 适 配 卡 ， 不 但 传输 较为 
稳定 ， 并 且 可 以 降低 系统 资源 的 耗费 ， 是 有 一 定 程度 的 帮助 的 。 另 外 ， 如 果 强 调 高 速 的 
话 ， 甚 至 可 以 选用 PCI-Express 的 网 络 卡 ， 而 不 使 用 传统 的 PCI 接口 。 因 为 PCI- 
Express 的 传输 带宽 更 高 。 


Tips: 你 知道 吗 ? 鸟 站 (http:Wlinux.vbird.org) 使 用 的 主机 硬件 是 日 式 的 AthlonXP 
2000+， 内存 也 仅 有 1.5G ， 使 用 的 网 络 卡 则 是 早期 的 3Com 3c905C 芯片 ， 速 度 仅 有 
10/100 Mbps。 但 是 ， 使 用 到 目前 流量 传输 是 很 顺畅 的 | 不 要 说 品牌 迷 思 ， 有 时 产品 的 
用 料 实在 与 否 ， 很 重要 。 





不 过 ， 如 果 是 一 般 家 用 ， 或 者 是 准备 用 来 作为 学 习 机 之 用 的 主机 ， 那 么 万 一 网 络 卡 芯 片 无 法 驱动 时 ， 请 先 买 个 螃蟹 卡 (人 


WA TS 如 果 要 玩 Linux 又 想 比 较 顺畅 的 玩弄 Linux 时 ， 请 不 要 坚持 使 用 Linux 捉 不 到 的 网 络 卡 ! 否则 











。 Switch/Hub : 考虑 主机 数量 、 传 输 带宽 、 网 管 功 能 与 否 等 


就 如 同 第 二 章 网 络 基础 里 面 曾经 谈 到 的 ，Hub 是 共享 媒体 而 Switch 是 具有 独立 带宽 的 非 
共享 媒体 。 因 此 以 效能 以 及 带宽 来 看 ， 当 然 是 switch 比较 好 用 啊 ! 不 过 ， 如 果 你 是 一 般 
家 庭 用 户 ， 只 是 要 作 简单 的 上 网 等 工作 ， 是 没有 必要 购买 太 好 的 switch 的 ， 建 议 使 用 一 
般 大 卖场 可 以 买 到 的 5 port 的 hub 即 可 (差不多 500 块 台币 的 就 不 错 了 )。 


不 过 如 果 你 常常 在 区 网 内 传送 大 量 的 数据 ， 例 如 一 次 传输 就 得 要 传送 GBytes 的 数据 时 ， 
那么 网 络 的 整体 速度 需要 很 详细 的 考虑 喔 ! 包括 网 络 卡 最 好 使 用 gigabit ， 当 然 中 间 的 联 
机 设备 最 好 买 支持 到 gigabit 速度 的 switch 啦 ! 因为 10/100/1000Mbps 的 switch 要 比 
10/100Mbps 的 设备 快 上 十 倍 ， 速 度 可 是 差 很 多 的 啊 | 如 果 你 的 设备 还 需要 更 快 时 ， 例 
如 鸟 哥 之 前 服务 的 实验 室内 部 的 cluster ( 丛 集 式 计 算 机 群 )， 则 购买 的 Switch 甚至 需要 支 
持 Jumbo frame 这 种 支持 大 讯 框 的 硬件 架构 才 行 ， 否 则 速度 上 不 来 啊 ! 


网 络 线 : 考虑 与 速度 相配 的 等 级 、 线 材 形状 、 施 工 配 线 等 


在 所 有 串 连 网 络 的 设备 当中 ， 网 络 线 是 最 重要 ， 但 是 却 也 最 容易 被 忽略 ~ 除了 网 络 线 的 
等 级 会 影响 到 连接 速度 外 ， 网 络 线 所 在 处 是 否 容易 被 压 折 ? 是 否 容易 有 讯号 表 减 ? 自己 
压制 的 RJ-45 接头 是 否 通过 测试 ? 网 络 线 是 否 缠绕 情况 严重 ? 都 会 影响 到 网 络 的 传输 优 
劣 ! 所 以 ， 虽 然 我 们 常常 讲 要 确认 主机 与 Switch 是 否 有 连接 成 功 可 以 看 Switch 上 的 灯 
号 ， 但 是 很 多 时 候 虽 然 灯 号 是 亮 的 ， 不 过 由 于 网 络 线 折 损 严 重 的 问题 ， 也 会 导致 联机 质 
量 不 良 吕 ! 


一 般 来 说 ，『 个 体 户 J 与 小 型 企业 通常 网 络 线 是 直接 放 在 外 部 的 ， 这 种 情况 你 发 现 网 络 
怪 怪 的 时 ， 可 以 直接 更 换 线路 。 不 过 ， 如 果 是 如 同 中 大 型 企业 将 网 络 线 直 接 埋 在 墙 内 或 
者 是 在 管线 当中 ， 发 现 问题 时 ， 申 的 很 麻烦 ~ 所 以 才 需 要 专业 人 才 的 辅助 啊 ! 


Tips: 一 般 来 说 ， 越 高 等 级 的 网 络 线 ， 最 好 不 要 自行 制作 ， 因 为 一 个 小 小 的 RJ-45 接头 的 
压制 ， 由 于 蔓 线 裸露 程度 的 不 同 ， 就 会 影响 到 电子 屏蔽 效应 的 优 劣 了 。Cat 5 等 级 的 线 
材 还 可 以 自行 压制 ， 比 他 还 高 等 级 的 ， 最 好 还 是 买 现成 的 吧 | 人 人 ^ 


e。 无 线 网 络 相 关 设 备 : 考虑 速度 、 标 准 、 安 全 性 等 


现在 的 网 络 环境 除了 传统 的 有 线 网 络 之 外 ， 其 实 还 有 一 个 也 是 很 常见 的 喔 ， 那 就 是 无 线 
网 络 啦 ! 无 线 网 络 会 流行 主要 的 原因 除了 笔记 本 电脑 能 力 越 来 越 强 ， 使 得 很 多 朋友 直接 
以 笔记 本 电脑 取代 桌面 计算 机 之 外 ， 无 线 网 络 的 速度 目前 已 经 可 以 达到 54 ~ 300 Mbps 
那么 快 了 (802.11n 的 标准 而 言 )， 对 于 一 般 只 是 上 网 看 新 闻 与 聊天 的 上 班 族 来 说 ， 这样 
的 速度 实在 是 非常 快 了 (一 般 的 ADSL 仅 是 2M/256K bps 而 已 )， 所 以 要 买 无 线 网 络 设备 
( 含 基 地 全 与 在 client 端的 无 线 网 卡 ) 来 做 成 局 域 网 络 ， 其 实 也 是 可 以 啦 ! 而 且 还 可 以 省 
去 网 络 线 的 施工 呢 ! 


不 过 ， 无 线 网 络 最 大 的 问题 常常 在 于 『 无 线 的 安全 性 本 方面， 因为 是 无 线 的 设备 ， 所 以 
『 基 地 台 如 果 没 有 做 好 防备 措施 的 话 ， 常 常会 导致 LAN 内 的 主机 数据 被 窃取 」 ， 这 可 是 
非常 大 的 问题 喔 ! 可 千 万 不 要 小 看 这 个 问题 ， 吃 上 官司 常常 是 由 于 忘记 网 络 安 全 啊 | 记 
得 购买 无 线 网 络 基 地 台 时 ， 注 意 他 可 否 『 限 制 MAC 4」， 如 此 一 来 ， 至 少 可 以 锁 网 卡 ， 
只 让 指定 的 网 卡 可 以 使 用 你 的 无 线 基 地 人 台 ， 上 比较 安全 啦 ! 


e@ 关于 其 他 配件 : 


事实 上 ， 整 个 网 络 环境 可 不 止 上 头 提 到 的 这 些 吹 吹 而 已 ， 还 包括 硬件 防火 墙 、 路 由 器 、 

网 桥 等 等 的 ， 当 然 ， 这 些 设备 贵 的 话 也 有 上 百 万 的 ， 但 你 的 环境 是 否 需要 用 到 这 么 好 的 
设备 ， 那 就 见仁见智 啊 ~ 此 外 ， 为 了 环境 的 美观 与 生活 的 便利 ， 你 总 不 希望 走 在 路 上 被 
网 络 线 所 绊 倒 ， 也 不 希望 因为 网 络 线 绊 倒 你 导致 网 络 媒体 掉 落 ， 结果.……… 损失 了 一 堆 $$ 
吧 一 所 以 嚼 ， 在 网 络 线 的 转角 处 必须 特别 注意 线材 的 保护 ， 在 平面 地 上 则 需要 特别 使 用 
压条 给 予 国定 ， 在 牵线 施工 的 时 候 尽量 让 线材 沿 着 墙角 或 者 是 墙 面 上 的 既 有 物品 ， 如 此 
则 除了 保持 工作 场所 的 美观 之 外 ， 还 能 够 增加 工作 场所 的 安全 性 啊 | 人 和 ^ 


此 外 ，『 计 算 机 上 网 的 速度 并 非 完 全 取决 于 网 络 带 宽 」 举 例 来 说 ， 玩 在 线 游戏 时 ， 大 家 
都 以 为 网 络 带 宽 需 要 很 高 规格 ， 其 实 ..…. 根 本 不 需要 ! 因为 3D 联机 游戏 最 主要 的 速度 疹 
颈 应 该 是 在 于 『3D 显示 」 而 不 是 网 络 。 这 是 因为 网 络 仅 传送 一 些 数据 给 你 的 主机 ， 而 你 
的 主机 再 在 自己 的 硬盘 里 面 将 图 形 取出 ， 并 且 使 用 3D 绘图 卡 将 画面 绘制 到 你 的 屏幕 上 。 
所 以 ， 显 示 速 度 或 者 是 CPU 不 够 力 时 ， 才 会 发 生 联 机 游戏 的 顿 点 。 否 则 就 是 联机 游戏 服 
务 器 本 身 的 负载 (loading) 太 大 ， 导 致 主机 响应 有 和 较 多 延迟 ， 就 产生 lag ( 顿 点 ) 的 问题 
啦 1 


另外 ， 包 括 你 主机 使 用 的 数据 是 否 具有 快速 的 传输 接口 也 有 关 。 举 例 来 说 ， 如 果 你 的 主 
机 使 用 USB 1.1 (最 大 传输 12Mbps)， 但 网 络 速度 可 达 10/100/1000Mbps ， 那 当 你 要 在 
远程 使 用 这 部 计算 机 的 USB 装置 内 的 数据 时 ， 最 大 速度 会 是 『 12Mbps 4 ， 也 就 是 最 慢 
的 那 一 个 组 件 。 所 以 啊 ， 网 络 速度 慢 的 时 候 ， 不 要 以 为 只 要 增加 网 络 带 宽 就 好 了 ， 要 确 
切 的 找 出 问题 啊 ! 


事实 上 ， 选 购 网 络 媒体 所 需要 考虑 的 参数 实在 太 多 了 ， 并 且 没有 一 定 的 依据 ， 完 全 与 使 用 者 
的 使 用 环境 与 未 来 功能 性 有 关 。 不 过 ， 如 果 着 眼 在 单纯 的 硬件 速度 上 面 的 话 ， 那 么 选 购 时 考 
虑 『 我 的 网 络 速 度 可 接受 的 最 低速 度 为 何 ? 4 去 考虑 吧 ! 如 果 行 有 余力 的 话 ， 再 来 考虑 『 我 
的 环境 需要 多 稳定 的 设备 来 达成 ?」 其 他 的 ， 那 就 得 要 舍 你 自己 摸索 嘿 ! 人 人 ^ 
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3.1 局 域 网 络 的 联机 107 


3.2 本 书 使 用 的 内 部 联机 网 络 参 数 与 通讯 协议 


除非 你 已 经 具有 相当 熟练 的 Linux 系统 与 服务 器 架设 维护 经 验 ， 否 则 不 建议 你 使 用 上 面 图 

3.1-4 所 介绍 的 联机 模式 ， 对 于 初 接触 Linux 服务 器 架设 与 维护 的 朋友 来 说 ， 将 你 的 联机 模式 
设 定 成 图 3.1-3 应 该 是 个 不 错 的 选择 ， 除 了 可 以 让 你 简单 的 就 将 服务 器 架设 成 功 之 外 ， 也 可 以 
让 你 以 Linux 做 为 内 部 LAN 的 防火 墙 管理 中 心 ， 对 于 未 来 的 学 习 成 长 方面 较 有 帮助 啊 1 ^ 人 ^ 


3.2.1 联机 参数 与 通讯 协议 


为 使 你 的 服务 器 学 习 之 旅 较 有 连贯 性 ， 因 此 乌 哥 将 后 续 章 节 会 使 用 到 的 区 网 环境 以 图 3.1-3 为 
范本 ， 设 计 一 个 区 网 ， 包 括 相 关 的 网 络 参数 如 下 所 示 : 


Router A 











IP 外 ;public JP 
IP 内 :; 192.168.1.254/24 


WwWw,centos.ybird( 本 书 讲 的 主机 ) 


IP 外 : 192.168.1.100/24 
PP 内 : 192.168.100.254/24 







| 独立 区 域 : 
centos.vbird: 









workstation 
IP: 192.168.1.101 | 
Gateway: 192.168.1.254: 


| 


| 
| 
| 


clientlinux winxp Win7 
{ 192.168.100.10 192.168.100.20 192.168.100.30 ; 
Eee 3.2-1、 未 杨 外 使 用 前 


区 网 环境 与 参数 设 定 


在 上 图 的 环境 下 ， 我 们 主要 介绍 的 是 www.centos.vbird 那 部 Linux 主机 ， 该 主机 必须 要 具有 
router 的 能 力 ， 所 以 当然 必须 就 要 有 两 个 接口 ， 一 个 接口 与 Internet 沟通 ， 另 一 个 接口 则 与 内 
部 的 LAN 沟通 。 那 么 为 什么 岛 哥 说 的 是 『 两 个 网 络 接口 上 而 不 是 『 两 张 网 络 卡 」 呢 ? 原因 很 
简单 ， 因为 一 张 网 络 卡 可 以 设 定 多 个 IP 啊 ! 因 此， 在 Linux 当中 一 张 网 络 卡 可 以 具有 一 个 以 
上 的 IP 呢 ! 由 于 一 个 IP 即 为 一 个 网 络 接口 ， 因 此 只 要 两 个 网 络 接口 (不 论 有 几 张 网 络 卡 ) 即 
可 进行 NAT (类 似 IP 分 享 器 功能 ) 的 设 定 啦 上 所 以 自然 一 个 网 络 卡 即 可 嘿 ! 不 过 ， 乌 哥 个 人 还 
是 比较 喜欢 并 且 建 议 两 张 网 络 卡 的 啦 ， 将 内 外 网 络 环境 完整 的 分 开 ， 让 你 的 内 部 网 络 效能 较 
佳 一 点 |! 


关于 与 Internet 的 联机 方面 ， 就 如 第 二 章 谈 到 的 ， 目 前 在 台湾 最 常见 的 有 ADSL, Cable 
Modem, 学 术 网 络 的 国定 IP 等 ， 这 些 联 机 的 方式 我 们 将 在 后 续 章节 继续 介绍 的 。 至 于 内 部 的 
LAN 我 们 则 建议 使 用 Private IP 来 设 定 喔 ! 鸟 哥 通常 喜欢 使 用 192.168.1.0/24 及 
192.168.100.0/24 这 几 个 Class C 的 网 域 ， 没 什么 特殊 原因 ， 只 是 因为 .... 我 喜欢 ! 人 人 ^ 在 选 
定 了 Private IP 的 网 段 后 ， 你 必须 要 有 『IP, Network, Netmask, Broadcast, Default gateway 
以 及 DNS 服务 器 的 IPJ 等 等 的 设 定 值 。 假 设 我 Linux 主机 的 对 内 IP 为 192.168.100.254 ， 
则 在 图 3.2-1 内 的 LAN 内 的 PC 之 网 络 相关 设 定 参数 则 为 : 


e。 |P: 设 定 为 192.168.100.1~192.168.100.253 ， 但 IP 不 可 重复 ; 
e。 Netmask : 255.255.255.0 

e。 Network : 192.168.100.0、Broadcast : 192.168.100.255 

。 Default Gateway : 192.168.100.254 (路 由 器 的 |P) 

。 DNS : 暂时 使 用 168.95.1.1 


Tips: 你 能 有 如 上 图 3.2-1 这 么 多 的 计算 机 来 测试 你 的 服务 器 环境 吗 ? 当然 不 可 能 ! 那 如 何 达 
成 上 述 的 功能 呢 ? 透 过 虚拟 化 技术 啊 ! 乌 哥 是 以 virtualbox 这 套 软件 来 处 理 整 个 局 域 网 络 所 
有 主机 的 安装 与 测试 ， 主 要 虚拟 出 来 的 机 器 有 www.centos.vbird, clientlinux, winxp, win7 这 
四 部 ， 要 注意 的 是 ，Wwww.centos.vbird 有 两 张 网 卡 ， 一 张 为 对 外 联机 的 使 用 bridge 模式 ， 一 
张 与 其 他 三 部 主机 联机 的 请 选择 fintnetJ ， 这 样 就 能 搞定 你 的 区 网 环境 与 实验 喔 ! 


e@ 安装 什么 通讯 协议 


目前 网 络 社会 最 通用 的 通讯 协议 就 是 TCP/IP 了 ! 因此 你 如 果 要 连 上 Internet ， 你 的 系统 就 得 
要 支持 TCP/IP 才 行 。 但 在 局 域 网 络 内 部 时 ， 事 实 上 还 可 以 透 过 简单 的 通讯 协议 来 达到 数据 
传输 的 目的 ， 例 如 NetBEUI 就 是 一 个 常见 的 简易 通讯 协议 。 


在 Linux 系统 当中 ， 只 要 将 网 络 参 数 设 定 妥 当 ， 那 么 TCP/IP 就 已 经 被 启用 了 ， 所 以 你 不 需要 
额外 的 再 安装 其 他 的 通讯 协议 。 不 过 ， 如 果 你 需要 将 你 的 Linux 系统 中 的 硬盘 空间 分 享 给 同 
网 域 的 Windows PC 时 ， 那 么 就 需要 额外 的 加 装 SAMBA 这 个 服务 器 软件 才 行 。 相 关 的 
SAMBA 数据 我 们 会 在 后 面 的 章节 提 及 。 反 正 不 管 怎么 说 ， 目 前 Internet 就 是 经 由 TCP/IP 来 
进行 连接 的 ， 而 Linux 本 身 就 支持 了 TCP/IP ， 所 以 不 需要 额外 的 安装 有 的 没 的 说 ! 


至 于 在 Windows 部 分 就 比较 麻烦 一 点 ， 因 为 在 较 大 型 的 企业 当中 ， 还 需要 额外 的 考虑 到 
Windows Server 所 提供 的 服务 ， 那 么 在 Windows Clients 端 就 得 要 相应 的 启动 菜 些 通讯 协议 
才 行 。 一 般 来 说 ， 在 Windows Client 系统 里 面 ， 最 常见 的 两 个 通讯 协议 就 是 TCP/IP 以 及 
NetBEUI 这 两 个 通讯 协议 了 。 如 果 你 只 想 让 Windows 与 Linux 能 够 藉 由 网 络 上 的 芳 邻 互通 有 
无 ， 那 么 启动 TCP/IP 也 就 够 了 ( 因为 SAMBA 是 藉 由 NetBIOS over TCP/IP 来 达成 数据 传输 
的 )， 不 过 ， 也 可 以 同时 启动 NetBEUI 这 个 通讯 协议 就 是 了 。 


3.2.2 Windows 个 人 计算 机 网 络 设 定 范例 


我 们 这 本 书 谈论 的 是 以 Linux 主机 提供 的 服务 器 为 主 ， 所 以 关于 LAN 里 面 的 Windows 我 都 
将 他 假设 为 Client， 并 且 不 提供 网 络 服务 ， 所 以 都 先 以 固定 的 Private IP 来 设 定 Windows 操 
作 系 统 ， 如 果 你 的 LAN 有 其 他 的 考虑 ， 那 么 底下 的 设 定 就 看 看 就 好 。 


我 们 在 Windows 系统 上 所 需要 的 网 络 参数 除了 |P, netmask, DNS 之 外 ， 还 需要 『 工 作 组 ， 
workgroupJ 与 『 计 算 机 名 称 , Netbios nameJ 等 等 的 设 定 ， 此 外 ， 我 们 也 可 以 加 上 LAN 里 
面 很 常见 的 NetBIOS (NetBEUI) 这 个 通讯 协议 呐 。 因 此 ， 除 非 你 确定 你 的 网 域内 还 有 其 他 的 
工作 站 ， 否 则 『 请 只 要 安装 TCP/IP 以 及 NetBEUI 这 两 个 协议 就 好 了 1! 安装 太 多 反而 会 有 
问题 呢 ! 底下 我 们 假设 你 的 网 络 卡 都 安装 好 了 ， 并 以 图 3.2-1 里 面 那 部 内 部 区 网 的 winxp 主 
机 为 例 来 介绍 : 


。 与 网 络 有 关 的 设 定 参数 : 


o |P: 192.168.100.20 
o Netmask: 255.255.255.0 
o DNS: 168.95.1.1 
o _ Gateway: 192.168.100.254 
o 工作 组 : vbirdhouse 
o 计算 机 名 称 : winxp 
。 详细 的 设 定 流程 : 


1. 先 到 上 开始 J 三 三 > 『 设 定 三 三 六 『 控 制 台 1 二 二 > 『 网 络 联机 J Es 选择 『 区 域 联 
机 J 该 项 后 ， 会 出 现 如 下 图 示 : 


江 区域 束 加 状 能 区 | 区] 
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图 3.2-2、 区 域 联机 状态 


2. 上 面 画 面 当 中 选择 『 内 容 」 进入 如 下 的 设 定 画面 中 : 
1[] (img/winxp_net_02.gif) 
图 3.2-3、 区 域 联机 内 容 
3. 接 下 来 ， 在 上 图 中 选择 『 联 机 后 ， 将 图 标 显 示 在 通知 区 域内 J4 ， 并 且 双 击 『Internet Protocol (TCP/IP)J 蕊 
1[] (img/winxp_net_03.gif) 
图 3.2-4、 区 域 联机 TCP/IP 设 定 内 容 
4. 再 来 需要 编辑 你 的 网 络 识别 喔 ! 选择 『 开 始 〗 ==&gt; 『 控 制 台 」==&gt 双击 了 系统 」 之 后 出 现 的 图 标 ， 再 按 下 


1[] (img/winxp_net_04.gif) 
图 3.2-5、 区 域 联机 计算 机 名 称 与 工作 组 设 定 内 容 


-| 


基本 上 ，Windows 的 网 络 参数 设 定 是 相当 的 简单 的 ! 乌 哥 这 里 仅 介绍 修改 IP 与 相关 网 络 参 
数 的 方式 而 已 。 未 来 如 果 还 需要 搭配 DHCP 主机 、NAT 主机 等 等 服务 器 的 设 定时 ， 会 再 次 的 
提醒 用 户 Windows 的 设 定 信息 喔 ! 尤其 是 SAMBA 主机 的 设 定 中 ，Windows 的 网 络 识别 就 
显 的 相当 的 重要 呢 | 





2002/07/22 : 初次 完成 了 局 域 网 络 架设 的 基本 架构 2003/08/17 : 将 整个 文章 重新 修订 ， 移 除 
一 些 已 经 在 网 络 基础 里 面谈 过 的 内 容 ， 并 且 新 增 了 表 头 的 说 明 。 2003/08/20 : 加 入 课 后 练习 
了 。 2003/09/19 : 加 入 参考 用 解答 咯 ! 2005/05/05 : 将 原本 介绍 并 行 线 与 跳 线 的 N-Way 错 
误 ， 订 正 为 auto MDI/MDI-x 2006/07/13 : 将 旧 的 文章 移动 到 此 处 。 2006/07/14 : 加 入 Linux 
distribution 的 说 明 ， 并 且 重 新 校 稿 更 新 内 容 ， 如 布线 部 分 。2006/07/15 : 取消 Windows 


2000, 98。 2010/08/16 : 将 原本 目的 基于 CentOS 4.x 的 版 本 移动 于 此 处 2010/08/20 : 由 于 
很 多 数据 与 前 一 章 有 重复 ， 有 些 数据 太 过 老 上 日 ， 所 以 重新 编辑 过 此 文章 。2011/07/15 : 将 原 
本 的 基于 CentOS 5.x 的 文章 移动 到 此 处 2011/07/15 : 最 重要 的 是 加 入 图 3.2-1 了 | 那 与 服务 
器 篇 后 续 所 有 的 章节 都 有 相关 性 喔 ! 
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第 四 章 、 连 上 Internet 


最 近 更 新 日 期 : 2011/07/20 
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于 要 来 到 修改 Linux 网 络 参数 的 章节 了 | 在 第 二 章 的 网 络 基础 中 ， 我 们 知道 主机 要 连 上 
Internet 需要 一 些 正确 的 网 络 参数 设 定 ， 这 些 设 定 在 Windows 系统 上 面 的 修改 则 在 第 三 章 的 
局 域 网 络 架构 中 说 明了 。 在 这 一 章 当 中 ， 我 们 则 主要 以 固定 |P 的 设 定 方式 来 修改 Linux 的 网 
络 参数 ， 同 时 ， 也 会 介绍 如 何 使 用 ADSL 的 拨 接 方式 来 上 网 ， 此 外 ， 因 为 Cable modem 使 用 
者 也 不 在 少数 ， 所 以 我 们 也 说 明 一 下 Cable modem 在 Linux 下 的 设 定 方式 弓 ! 最 后 ， 由 于 
笔记 本 电脑 使 用 者 大 增 ， 且 因为 笔记 本 电脑 常 使 用 无 线 网 络 ， 因 此 本 文 也 加 入 了 无 线 网 络 的 
联机 介绍 啊 ! 


。 4.1 Linux 连 上 Internet 前 的 注意 事项 
o 4.1.1 Linux 的 网 络 卡 
o 4.1.2 编译 网 卡 驱动 程序 (Option) 
o 4.1.3 Linux 网 络 相关 配置 文件 和 
e 4.2 连 上 Internet 的 设 定 方法 
o 4.2.1 手动 设 定 固定 IP 参数 (适用 学 术 网 络 、ADSL 固定 制 )+ 五 大 检查 步骤 
o 4.2.2 自动 取得 IP 参数 (DHCP 方法 ， 适 用 Cable modem、IP 分 享 器 的 环境 ) 
o。 4.2.3 ADSL 拨 接 上 网 (适用 台湾 ADSL 拨 接 以 及 光纤 到 大 楼 ) 
4.3 无 线 网 络 -- 以 笔记 本 电脑 为 例 
o 4.3.1 无 线 网 络 所 需要 的 硬件 : AP、 无 线 网 卡 
o 4.3.2 关于 AP 的 设 定 : 网 络 安全 方面 
o 4.3.3 利用 无 线 网 卡 开 始 联机 
4.4 常见 问题 说 明 
o。 4.4.1 内 部 网 域 使 用 某 些 联机 服务 (如 FTP POP3) 所 遇 到 的 联机 延迟 问题 
o 4.4.2 网 址 列 无 法 解析 问题 
o 4.4.3 预 设 路 由 的 问题 
e 4.5 重点 回顾 
e 4.6 本 章 习题 
4.7 参考 数据 与 延伸 阅读 
4.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=112420 
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4.1 Linux 连 上 Internet 前 的 注意 事项 


由 前 面 几 章 的 数据 我 们 知道 ， 想 要 连 上 Internet 你 得 要 设 定 一 组 合法 的 IP 参数 才 可 以 ， 主 要 
是 |P, Netmask, Gateway, DNS IP 以 及 主机 名 等 。 那 我 们 也 知道 ， 其 实 整个 主机 最 重要 的 设 
定 ， 就 是 『 先 要 驱动 网 络 卡 〗， 否 则 主机 连 网 络 卡 都 捉 不 到 时 ， 怎 么 设 定 IP 参数 都 是 没有 用 
的 ， 你 说 是 吧 ! 所 以 底下 我 们 就 来 谈 一 谈 ， 你 要 如 何 确 定 网 络 卡 已 经 被 提 到 ， 而 Linux 主机 
的 网 络 参数 又 该 如 何 设 定 ? 


4.1.1 Linux 的 网 络 卡 
你 怎么 确认 Linux 有 提 到 网 络 卡 ?Linux 底下 的 网 络 卡 的 名 称 是 啥 ? 让 我 们 来 了 解 一 下 吧 ! 
e@ 认识 网 络 卡 的 装置 代号 


在 Linux 里 面 的 各 项 装置 几乎 都 是 以 文件 名 来 取代 的 ， 例 如 /devhda 代表 IDE1 接口 的 
第 一 个 master 硬盘 等 等 。 不 过 ， 网 络 卡 的 代号 (Network Interface Card, NIC) 却 是 以 模 
块 对 应 装置 名 称 来 代替 的 ， 而 默认 的 网 络 卡 代 号 为 eth0 ， 第 二 张 网 络 卡 则 为 eth1 ， 以 
此 类 推 。 


关于 网 络 卡 的 模块 (驱动 程序 ) 


我 们 知道 网 络 卡 其 实 是 硬件 ， 所 以 当然 需要 核心 支持 才能 驱动 他 。 一 般 来 说 ， 目 前 新 版 
的 Linux distributions 默认 可 以 支持 的 网 络 卡 芯 片 组 数量 已 经 很 完备 了 ， 包 括 大 厂 的 
3COM, Intel 以 及 初 阶 的 RealTek, D-Link 等 网 络 卡 芯片 都 已 经 被 支持 ， 所 以 使 用 者 可 以 
很 轻易 的 设 定好 他 们 的 网 络 卡 。 不 过 ， 万 一 你 的 网 络 卡 芯 片 组 开发 商 不 愿意 释 出 开放 源 
(Open Source) 的 硬件 驱动 程序 ， 或 者 是 该 网 络 卡 太 新 了 ， 使 得 Linux 核心 来 不 及 支持 
时 ， 那 么 你 就 得 要 透 过 : 


1， 重新 编译 较 新 的 核心 ， 或 者 是 

2， 编译 网 络 卡 的 核心 模块 好 让 核心 可 以 支持 网 络 卡 这 块 硬件 啦 ! 但 是 ， 重 编 核心 或 编 
译 网 络 卡 核心 模块 都 不 是 简单 的 工作 ， 而 且 有 时 原始 码 又 可 能 无 法 在 每 部 主机 上 面 
编译 成 功 ， 所 以 万 一 你 的 网 络 卡 丨 的 不 被 默认 的 Linux 网 络 蕊 片 所 支持 ， 那 么 鸟 哥 
监 的 建议 直接 换 一 块 被 Linux 支持 的 网 络 卡 吧 ， 例 如 很 便宜 的 螃 屡 卡 ! 免得 花 了 太 
多 时 间 在 硬件 确认 上 面 ， 划 不 来 的 ! ^^ 

另外 ， 其 实 有 的 时 候 Linux 的 默认 网 络 卡 模块 可 能 无 法 完全 100% 的 发 挥 网 络 卡 的 功能 

的 ， 所 以 ， 有 的 时 候 你 还 是 得 必须 要 自行 编译 网 络 卡 的 模块 才 行 喔 ! 当然 ， 那 个 网 络 卡 

的 模块 就 得 要 自行 由 网 络 卡 开 发 商 的 官方 网 站 下 载 了 ! 不 过 ， 如 果 你 的 网 络 卡 是 自行 编 

译 安装 的 ， 那 么 每 次 重新 安装 其 他 版 本 的 核心 时 ， 你 都 必须 要 自行 重新 手动 编译 过 该 模 

块 。 因为 模块 与 核心 是 有 相关 性 的 啊 ! 


。 观察 核心 所 提 到 的 网 卡 信 息 


假设 你 的 网 络 卡 已 经 在 主机 上 面 ， 不 论 是 内 建 的 还 是 自行 安插 到 PCI 或 PCI-x 或 PCI-E 
的 接口 上 ， 那 么 如 何 确 认 该 网 络 卡 有 被 核心 所 到 呢 ? 很 简单 啊 ! 就 利用 dmesg 来 查阅 即 
可 : 

[root@www ~]# dmesg &#124; grep -in eth 

377:e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection 

383:e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection 


418:e1000: etho NIC Link is Up 1000 Mbps Full] Duplex, Flow Control: RX 
419:etho0: no IPv6 routers present 


从 上 面 的 第 377 及 383 这 两 行 ， 我 们 可 以 查 到 这 部 主机 的 两 张 网 络 卡 都 使 用 模块 为 
e1000， 而 使 用 的 芯片 应 该 就 是 Intel 的 网 络 卡 了 。 此 外 ， 这 个 网 卡 的 速度 可 达到 
1000Mbps 的 全 双 工 模式 哩 (418 行 ) ! 除了 使 用 dmesg 来 查询 核心 侦 测 硬件 产生 的 信息 
外 ， 我 们 也 可 以 透 过 lspci ov ! 如 下 所 示 : 


[root@www ~]# lspci &#124; grep -i ethernet 
00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet 
Controller (rev 02) 


请 注意 ， 鸟 哥 这 里 使 用 的 是 Virtualbox es re ae 参考 第 一 章 1.2.2-2)， 
因此 使 用 的 是 模拟 出 来 的 Intel 网 卡 。 如 果 你 是 使 用 自己 的 实际 硬件 配备 安装 的 主机 ， 那 
么 应 该 会 看 到 不 同 的 芯片 啦 ! 那 是 正常 的 ! 


观察 网 络 卡 的 模块 


从 刚刚 的 dmesg 的 输出 讯息 中 ， 我 们 知道 鸟 哥 这 Ts e1000 ， 那 核心 
有 顺利 的 载 入 了 吗 ? 可 以 利用 Ismod 去 查 查看 。 此 外 ， 这 个 模块 的 相关 信息 又 是 如 何 
呢 ? 使 用 modinfo 来 查 查 看 吧 ! 


[root@www ~]# lsmod &#124; grep 1000 


e1000 119381 0 &1lt;== 确 实 有 载 入 到 核心 中 | 

[root@www ~]# modinfo e1000 

filename: &lt;u&gt;/l1ib/modules/2.6.32-71.29.1.e16.x86_ 64/kernel/drivers/net/e1i00t 
version: 7.3.21-k6-NAPI 

license: GPL 

description: Intel(R) PRO/1000 Network Driver 

i (以 下 省 略 )..... 





上 面 输出 信息 的 重点 在 于 那个 档 名 (filename) 的 部 分 ! 那 一 场 串 的 文件 名 目录 ， 就 是 我 
们 驱动 程序 放置 的 主要 目录 所 在 。 得 要 注意 的 是 ， 那 个 2.6.32-71.29.1.el6.x86 64 是 核 
心 版 本 ， 因 此 ， 不 同 的 核心 版 本 使 用 的 驱动 程序 其 实 不 一 样 喔 ! 我 们 才 会 一 直 强 调 ， 更 
改 核 心 后 ， 你 自己 编译 的 硬件 驱动 程序 就 需要 重新 编译 啦 ! 


那 你 如 何 知道 你 的 网 络 卡 卡 号 呢 ? 很 简单 啊 ! 不 管 有 没有 启动 你 的 网 络 卡 ， 都 可 以 使 
用 : 『 ifconfig eth0 4 来 查询 你 的 网 卡 卡号 。 如 果 你 照 着 上 面 的 信息 来 作 ， 结 果 发 现 网 
卡 已 经 驱动 了 ， 恭 喜 你 ， 准 备 到 下 一 节 去 设 定 网 络 吧 ! 如 果 没 有 提 到 网 卡 呢 ? 那 就 准备 


自己 编译 网 卡 驱动 程序 吧 | 


4.1.2 编译 网 卡 驱动 程序 (Option) 


一 般 来 说 ， 如 果 没 有 特殊 需求 ， 鸟 可 不 是 很 建议 你 自己 编译 网 络 卡 的 驱动 程序 | 为 啥 ? 因为 
想到 每 次 更 新 核心 都 得 要 重新 编译 一 次 网 卡 驱 动 程序 ， 光 是 想 想 都 觉得 烦 一 所 以 ， 没 有 被 
Linux 预 设 核 心 支持 的 网 卡 ， 就 先 丢 着 吧 ! 


Tips: 乌 可 之 前 买 了 一 张 内 建 网 卡 的 主板 ， 该 网 卡 并 没有 被 当时 的 Linux 预 设 核心 所 支持 ， 所 
以 就 得 要 自己 编译 核心 啦 。 因 为 CentOS 很 少 更 新 核心 ， 所 以 第 一 次 编译 完毕 之 后 就 忘记 有 
这 回 事 了 。 等 到 过 了 数 周 有 新 的 核心 出 现 后 ， 乌 哥 很 开心 的 自动 升级 核心 ， 然 后 远程 进行 
reboot ， 结 果 呢 ? 没有 网 卡 驱动 程序 了 啦 ! 我 的 主机 无 法 联网 ， 得 要 到 主机 前 用 tty 登入 后 才 
能 进行 编译 一 唉 一 


如 果 你 丨 的 很 有 求知 欲 ， 而 且 该 网 卡 的 官网 有 提供 给 Linux 的 驱动 程序 原始 码 ; 或 者 是 你 很 
想 要 某 些 官网 提供 的 驱动 程序 才 有 的 特殊 功能 ; 又 或 者 是 你 真 的 很 不 想 要 再 买 一 张 额外 的 网 
卡 。 此 时 ， 就 得 要 重新 编译 网 络 卡 的 驱动 程序 哆 。 


Tips: 事实 上 ， 如 果 你 要 新 添 购 硬件 时 ， 请 先 查 阅 一 下 硬件 包装 上 面 是 否 提 及 支持 Linux 的 字 
样 ， 因 为 有 些 硬件 厂商 在 推出 新 硬件 时 ， 常 党 会 汤 掉 Linux 驱动 程序 的 撰写 。 如 果 包 装 上 面 
有 提 到 支持 的 话 ， 那 么 至 少 你 会 获得 官方 网 站 所 提供 的 驱动 程序 原始 码 啊 | 人 和 


/i NS 
(0) 站 包 寻 


为 我 们 这 里 使 用 的 网 络 卡 是 Intel 的 82540EM Gigabit Ethernet 控制 芯片 ， 假 设 你 需要 的 驱 
动 程序 得 要 由 Intel 官网 取得 最 新 的 版 本 ， 而 不 要 使 用 预 设 的 核心 所 提供 的 版 本 时 ， 那 你 该 如 
何 处 理 呢 ?请 注意 ， 鸟 哥 这 个 小 节 只 是 一 个 范例 简介 ， 不 同 的 厂商 推出 的 驱动 程序 安装 方式 
都 有 点 不 太一 样 ， 你 得 要 参考 驱动 程序 的 读 我 档 (READ ME) 或 相关 档案 来 安装 才 行 。 此 
外 ， 如 果 默 认 驱 动 程序 已 经 提 到 了 网 络 卡 ， 乌 哥 是 建议 使 用 预 设 的 驱动 程序 就 好 了 喔 | 


另外 ， 由 于 编译 程序 需要 编译 程序 以 及 核心 相关 信息 ， 因 此 得 要 预 安装 gcc, make, kernel- 
header 等 软件 才 行 。 但 是 我 们 选择 的 安装 模式 为 『basic serverJ ， 这 些 软件 默认 都 没有 安 
装 的 ， 所 以 你 得 要 先 安装 这 些 软件 才 行 。 这 些 软件 可 以 简单 的 透 过 yum 使 用 『yum 
groupinstall 'Development Tools'4 来 安装 ， 只 可 惜 你 并 没有 网 络 啊 ! 所 以 就 得 要 透 过 原本 光 


瘟 一 个 一 个 去 处 理 RPM 属性 相依 的 问题 来 解决 了 ~ 很 脐 烦 的 一 不 然 的 话 ， 就 得 要 透 过 更 改 
yum 配置 文件 ， 使 用 本 机 档案 的 类 型 来 取得 原版 光盘 的 yum 软件 列表 哆 1! 鸟 哥 这 里 假设 你 已 
经 安装 了 所 需要 的 编译 程序 了 ， 接 下 来 的 动作 是 : 


1. 


国王 壮美 
请 自行 与 前 一 小 节 比 对 一 下 ， 就 会 发 现 盖 的 捉 到 正确 的 版 本 哩 ! 不 过 ， 这 个 模块 在 下 次 
新 的 核心 推出 后 就 会 失效 ! 为 什么 呢 ? 因为 新 核心 会 给 一 个 新 的 驱动 程序 嘛 | 就 不 是 你 
现在 这 个 8.0.30 的 版 本 哩 。 这 点 还 是 要 再 次 说 明 的 。 


取得 官方 网 站 的 驱动 程序 : 


再 次 说 明 ， 你 可 以 复制 鸟 哥 的 环境 ， 透 过 Virtualbox 的 模拟 而 来 。 我 们 这 里 使 用 的 是 
Intel 的 网 卡 ， 你 可 以 到 如 下 的 网 站 去 下 载 : 


o http://downloadcenter.intel.com/SearchResult.aspx?lang=eng&keyword='e1000-' 最 
后 (2011/07) 下 载 的 版 本 为 8.0.30， 确 实 比 上 个 小 节 提 到 的 版 本 还 要 新 上 下载 的 文件 
名 为 e1000-8.0.30.tar.gz， 鸟 哥 将 它 放置 于 /root 底下 ， 然 后 准备 来 处 理 编 译 过 程 
吧 ! 


解压 缩 与 编译 : 


使 用 root 的 身份 进行 如 下 工作 吧 : 


[root@www ~]# tar -zxvf e1000-8.0.30.tar.gz -C /usr/local/src 
[root@www ~]# cd /usr/local/src/e1000-8.0.30/ 

# 此 时 在 该 目录 下 有 个 README 的 档案 ， 记 得 看 一 看 ， 这 个 档案 内 会 说 明 很 多 信息 ， 
# 包括 如 何 编 译 ， 以 及 这 个 模块 所 支持 的 芯片 组 哩 ! 

[root@www e1000-8.0.30]# cd src 

[root@www src]# make install 


最 后 这 个 模块 会 被 编译 完成 且 安 装 放置 于 如 下 的 档 名 : /lib/modules/$(uname - 
nkernel/drivers/net/e1000/e1000.ko。 接 下 来 我 们 得 要 重 载 这 个 新 的 模块 才 行 吻 ! 


模块 之 测试 与 处 理 


由 于 这 个 模块 已 经 被 加 载 啦 ， 所 以 我 们 得 要 先 移 除 旧 的 模块 后 ， 才 能 够 重 载 这 个 模块 。 
使 用 的 方法 有 点 像 这 样 : 


# 1\， 先 移 除 已 经 加 载 在 内 存 中 的 昌 模 块 
[root@www ~]# rmmod e1000 
# 此 时 已 经 捉 到 的 网 卡 会 整个 消失 不 见 ! 因为 驱动 程序 被 卸 除 了 咏 ! 


# 2\， 加 载 新 模块 ， 并 且 查 阅 一 下 有 没有 捉 到 正确 的 版 本 ! 
[root@www ~]# modprobe e1000 
[root@www ~]# modinfo e1000 


filename: /lib/modules/2.6.32-71.29.1.el16.x86 64/kernel/drivers/net/e1000/e100( 
version: &lt;u&gt;8.0.30-NAPI&1t;/Uu&gt; &1lt;== 就 是 这 里 | 

license: GPL 

description: Intel(R) PRO/1000 Network Driver 





4. 设 定 开 机 自动 启动 网 络 卡 模块 (Option) 


如 果 你 在 开机 就 能 够 正确 的 取得 这 个 模块 的 话 ， 那 么 你 的 网 卡 就 没有 问题 啦 ! 这 个 步骤 
是 可 以 略 过 的 。 如 果 你 的 核心 还 是 提 不 到 网 卡 ， 那 你 可 能 得 要 自己 处 理 一 下 模块 的 对 应 
才 行 。 怎 么 处 理 呢 ? 了 很 简单 ， 在 /etc/modprobe.d/ 目录 下 建立 一 个 名 为 ether.conf 的 档 
案 ， 内 容 将 模块 与 网 卡 代号 链接 在 一 块 即 可 ! 这 样 处 理 : 

[root@www ~]# vim /etc/modprobe.d/ether.conf 

alias etho e1000 


alias eth1 e1000  &1lLt;== 因 为 乌 哥 有 两 张 网 卡 嘛 ! 


[root@www ~]# Sync; reboot 


为 了 测试 一 下 刚刚 的 设 定 是 否 会 生效 ， 通 常 岛 哥 都 会 尝试 一 次 重新 启动 ， 然 后 开机 完成 
ee 
利 ， 那 就 太 完 美 了 ! 


5.， 党 试 设 定 IP 


等 到 一 切 就 绪 之 后 ， 总 得 试看 看 这 样 的 网 络 卡 模块 是 否 可 以 顺利 的 设 定好 IP 吧 ? 所 以 我 
们 先 手 动 给 他 一 个 私有 IP 看 看 先 : 


[root@www ~]# ifconfig eth0 192.168.1.100 
[root@www ~]# ifconfig 


etho Link encap:Ethernet Hwaddr 08:00:27:71:85:BD 
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 
(以 于 肖 只 ee 


嘿嘿 ! 受 定 妥 当 哩 ! 然后 利用 ping 这 个 指令 去 pw ， 看 
看 能 不 响应 ， 就 知道 你 的 网 络 卡 是 否 OK 的 啦 ! 通常 是 没有 问题 的 啦 ! 


4.1.3 Linux 网 络 相关 配置 文件 乏 


我 们 知道 TCP/IP 的 重要 参数 主要 是 : IP, Netmask, Gateway, DNS IP ， 而 且 千 万 不 要 忘记 你 
这 部 主机 也 应 该 要 有 主机 名 (hostname) ! 此 外 ， 我 们 也 知道 IP 的 取得 有 手动 设 定 、DHCP 处 
理 等 。 那 么 这 些 参 数 主 要 是 写 在 哪些 配置 文件 ? 如 何 对 应 呢 ? 底下 就 让 我 们 来 处 理 一 番 |! 


所 需 网 络 


参数 主要 配置 文件 档 名 重要 参数 
IP DEVICE= 网 卡 的 代号 BOOTPROTO= 是 否 使 用 
Netmask dhcp HWADDR= 是 否 加 入 网 卡 卡号 (MAC) 
DHCP /etc/sysconfig/network- ”IPADDR= 就 是 |P 地 址 NETMASK= 只 网 络 屏蔽 啦 
与 个 scripts/ifcfg-eth0 ONBOOT= 要 不 要 默认 户 动 此 接口 GATEWAY= 就 
Gateway 是 通讯 闸 啦 NM_CONTROLLED= 额 外 的 网 管 软 
等 件 鸟 哥 建议 取消 这 个 项 目 ! 


NETWORKING= 要 不 要 有 网络 
主机 名 /etc/sysconfig/network NETWORKING_IPV6= 支 持 IPv6 否 ? 
HOSTNAME= 你 的 主机 名 


DNS IP /etc/resolv.conf nameserver DNS 的 IP 
私有 |P 

对 应 的 主 ， /etc/hosts 私有 IP 主机 名 别名 
机 名 


你 没有 看 错 ， 主 要 需要 修改 的 就 是 这 四 个 档案 而 已 ! 因此 没有 很 困难 ! 大 家 都 想 太 多 了 ! 详 
细 的 设 定 后 续 小 节 再 来 讨 ， 这 里 先 有 概念 即 可 。 除 此 之 外 ， 还 有 些 档 案 或 许 你 也 应 该 要 知道 
一 下 比较 好 吻 ! 


e /etc/services 这 个 档案 则 是 记录 架构 在 TCP/IP 上 面 的 总 总 协议 ， 包 括 http, ftp, ssh， 
telnet 等 等 服务 所 定义 的 port number ， 都 是 这 个 档案 所 规划 出 来 的 。 如 果 你 想 要 自 定 义 
一 个 新 的 协议 与 port 的 对 应 ， 就 得 要 改 这 个 档案 了 ; 


e /etc/protocols 这 个 档案 则 是 在 定义 出 IP 封包 协议 的 相关 数据 ， 包 括 ICMP/TCP/UDP 这 
方面 的 封包 协议 的 定义 等 。 


大 概 知道 上 面 这 几 个 档案 后 ， 未 来 要 修改 网 络 参数 时 ， 那 就 太 简单 了 ! 至 于 网 络 方面 的 启动 
指令 的 话 ， 可 以 记得 几 个 简单 的 指令 即 可 喔 ! 


。 /etc/init.d/network restart 这 个 script 最 重要 ! 因为 可 以 一 口气 重新 启动 整个 网 络 的 参 
数 ! 他 会 主动 的 去 读 取 所 有 的 网 络 配置 文件 ， 所 以 可 以 很 快 的 恢复 系统 默认 的 参数 值 。 


。 ifup eth0 (ifdown eth0) 尼 动 或 者 是 关闭 某 张 网 络 接口 。 可 以 透 过 这 个 简单 的 script 来 处 
理 喔 ! 这 两 个 script 会 主动 到 /etc/sysconfig/network-scripts/ 目录 下 ， 读 取 适 当 的 配置 
文件 来 处 理 啊 | (例如 ifcfg-eth0)。 


大 概 你 只 要 只 到 这 些 基 本 的 指令 与 档案 ， 哈 哈 ! 网 络 参数 的 设 定 就 太 简单 啦 1 不 过 ， 最 好 你 
还 是 要 了 解 shell script ， 比 较 好 ! 因为 可 以 追踪 整个 网 络 的 设 定 条 件 。 why ? 这 是 因为 每 个 
distributions 的 设 定数 据 可 能 都 不 太 相 同 ， 不 过 却 都 以 /etc/init.d/network 作为 启动 的 script ， 
因此 ， 你 只 要 了 解 到 该 档案 的 内 容 ， 很 容易 就 追踪 得 出 来 你 的 配置 文件 所 需要 的 内 容 呢 ! 对 

吧 | 


另外 ， 新 版 的 CentOS 6.x 还 有 额外 推出 一 个 名 称 为 NetworkManager 的 软件 机 制 来 管理 网 
络 ， 不 过 ， 乌 可 还 是 比较 喜欢 手工 打造 自己 的 网 络 环境 ， 所 以 很 建议 将 该 软件 关闭 呢 1 还 
好 ， 我 们 安装 的 『basic server (第 一 章 的 1.2.2-2)」 就 这 么 巧 的 没有 安装 该 软件 ! 好 佳 在 ~ 


和 人 人 


4.2 连 上 Internet 的 设 定 方法 


在 前 几 章 我 们 就 谈 过 ， 人 台湾 地 区 主要 连 上 因特网 的 方法 有 (1) 学 术 网 络 、(2)ADSL 固 接 与 拨 
接 、(3)Cable modem 等 方式 ， 同 时 ， 手 动 设 定 IP 参数 是 很 重要 的 学 习 ， 因 此 ， 底 下 的 各 节 
中 ， 第 一 节 的 手动 设 定 固定 IP 一 定 要 做 过 一 次 ! 其 他 的 才 依 照 您 的 环境 去 设 定 去 学 习 | 


此 外 ， 由 于 目前 使 用 Linux notebook 的 使 用 者 大 增 ， 而 Notebook 通常 是 以 无 线 网 络 来 联机 
的 ， 所 以 鸟 哥 在 这 里 也 尝试 使 用 一 款 无 线 网 络 来 进行 联机 设 定 。 至 于 传统 的 56 Kbps 拨 接 则 
因为 速度 较 慢 且 使 用 度 越 来 越 低 ， 所 以 在 这 里 就 不 多 做 介绍 了 。 


4.2.1 手动 设 定 固定 IP 参数 (适用 学 术 网 络 、ADSL 固定 制 ) + 五 
大 检查 步骤 


所 谓 的 固定 IP 就 是 指 在 你 的 网 络 参数 当中 ， 你 只 要 输入 既定 的 IP 参数 即 可 。 那 么 这 个 既定 
的 IP 来 自 哪里 呢 ? 一 般 来 说 ， 他 可 能 来 自 于 : 


。 学 术 网 络 : 由 学 校 单位 直接 给 予 的 一 组 IP 网 络 参数 ; 

。 固定 制 ADSL : 向 ISP 申请 的 一 组 固定 IP 的 网 络 参数 ; 

e@ 企业 内 部 或 IP 分享 器 内 部 的 局 域 网 络 : 例如 企业 内 使 用 私有 1P 作为 局 域 网 络 的 联机 之 
用 时 ， 那 么 我 们 的 Linux 当然 也 就 需要 向 企业 的 网 管 人 员 申 请 一 组 固定 的 |P 网 络 参数 
虽 ! 


这 样 清 楚 吗 ? 也 就 是 说 ， 我 们 取得 的 国定 IP 参数 并 非 一 定 是 public IP 喔 ! 反正 就 是 一 组 可 接 
受 的 固定 IP 就 是 了 ! 所 以 在 架设 你 的 环境 之 前 ， 请 先 注意 所 有 网 络 参 数 的 来 源 正确 性 啊 ! 好 
了 ， 那 么 你 的 IP 要 如 何 设 定 呢 ? 先 回去 翻 翻 第 三 章 3.2.1 里 面 的 图 3.2-1， 我 们 对 外 网 卡 


(eth0) 的 信息 为 : 


LP 192.168.1.100 
Netmask: 255.255.255.0 
Gateway: 192.168.1.254 
DNS IP: 168.95.1.1 
Hostname: www.centos.vbird 


那么 要 修改 的 四 个 档案 与 相关 的 启动 脚本 ， 以 及 重新 启动 后 需要 用 哈 指 令 观 察 的 重点 ， 乌 哥 
再 次 的 使 用 一 个 简单 的 表格 来 说 明 ， 你 只 要 记得 这 几 个 表格 内 的 重要 档案 与 指令 ， 以 后 在 修 
改 网 络 参 数 时 ， 就 不 会 出 现 错误 了 | 看 看 吧 | 


修改 的 


参数 配置 文件 与 重要 局 动 脚本 观察 结果 的 指令 
IP 相 关 /etc/sysconfig/network-scripts/ifcfg-eth0 ifconfig (IP/Netmask) route -n 
参数 /etc/init.d/network restart (gateway) 
DNS /etc/resolv.conf dig www.google.com 


hostname (主机 名 ) ping 


主机 名 /etc/sysconfig/network /etc/hosts $(hostname) reboot 


底下 我 们 就 分 别针 对 上 面 的 各 项 设 定 来 进行 档案 的 重新 修改 嘿 ! 
1. IP/Netmask/Gateway 的 设 定 、 启 动 与 观察 


设 定 网 络 参数 得 要 修改 /etc/sysconfig/network-scripts/ifcfg-eth0， 请 记得 ， 这 个 ifcfg- 
eth0 与 档案 内 的 DEVICE 名 称 设 定 需 相 同 ， 并 且 ， 在 这 个 档案 内 的 所 有 设 定 ， 基 本 上 就 
是 bash 的 变量 设 定 规则 啦 (注意 大 小 写 ) ! 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 


DEVICE="ethg9" &1lt;== 网 络 卡 代 号 ， 必 须要 ifcfg-&lt;u&gt;ethO&1lt;/u&gt; 相对 局 
HWADDR="08:00:27:71:85:BD" &1t;== 就 是 网 络 卡 地 址 ， 若 只 有 一 张 网 卡 ， 可 省 略 此 项 目 
NM_CONTROLLED="'no" &1t ;== 不 要 受到 其 他 软件 的 网 络 管理 ! 

ONBOOT="yes" @&1t; == 是 否 默 认 启 动 此 接口 的 意思 

BOOTPROTO=none &1lt;== 取 得 IP 的 方式 ， 其 实 关键 词 只 有 dhcp， 手 动 可 输入 none 
IPADDR=192.168.1.100 &1lt ;== 就 是 IP 啊 

NETMASK=255.255.255.0 &1t ;== 就 是 子 网 掩 码 

GATEWAY=192 ,168 ,1， .254 &1lt ;== 就 是 预 设 路 由 

# 重点 是 上 面 这 几 个 设 定 项 目 ， 底 下 的 则 可 以 省 略 的 嘿 1 

NETWORK=192.168.1.0 &1t ; == 就 是 该 网 段 的 第 一 个 IP， 可 省 略 
BROADCAST=192.168.1.255 &1t;== 就 是 广播 地 址 哆 ， 可 省 略 

MTU=1500 &1t ;== 就 是 最 大 传输 单元 的 设 定 值 ， 若 不 更 改 则 可 省 略 


了 | 


上 面 的 资料 很 好 理解 吧 ! 请 注意 每 个 变量 (左边 的 英文 ) 都 应 该 要 大 写 1 否则 我 们 的 script 
会 误 判 ! 事实 上 鸟 哥 的 设 定 值 只 有 最 上 面 的 8 个 而 已 ， 其 他 的 NETWORK， 
BROADCAST MTU 乌 哥 都 没有 设 定 喔 ! 至 于 参数 的 说 明 方面 ，IPADDR, NETMASK， 
NETWORK, BROADCAST 乌 哥 在 这 里 就 不 再 多 说 ， 要 谈 的 是 几 个 重要 的 设 定 值 : 


o DEVICE : 定 值 后 面 接 的 装置 代号 需要 与 文件 名 (ifcfg-eth0) 那个 装置 代号 相 
同 才 行 ! pe 会 造成 一 些 装置 名 称 找 不 到 的 困扰 。 


o BOOTPROTO : 局 动 该 网 络 接口 时 ， 使 用 何 种 协议 ? 如 果 是 手动 给 予 |P 的 环境 ， 
请 输入 static 或 me none ， 如 果 是 自动 取得 IP 的 时 候 ， 请 输入 dhcp (不 要 写 错 字 ， 
为 这 是 最 重要 的 关键 词 1 ) 


o : 代表 的 是 『 整 个 主机 系统 的 default gatewayJ ， 所 以 ， 设 定 这 个 项 目 
， 请 特别 留意 | 不 要 有 重复 设 定 的 情况 发 生 喔 ! 也 就 是 当 你 有 ifcfg-eth0, ifcfg- 
eth1.... 等 多 个 档案 ， 只 要 在 其 中 一 个 档案 设 定 GATEWAY 即 可 


o GATEWAYDEV : 如 果 你 不 是 使 用 国定 的 IP 作为 Gateway ， 而 是 使 用 网 络 装置 作 
为 Gateway (通常 Router 最 常 有 这 样 的 设 定 )， 那 也 可 以 使 用 GATEWAYDEV 来 设 
定 通讯 六 装置 呢 | 不 过 这 个 设 定 项 目 很 少 使 用 就 是 了 | 


o HWADDR : 这 个 东西 就 是 网 络 卡 的 卡号 了 ! 在 仅 有 一 张 网 卡 的 情况 下 ， 这 个 设 定 值 
没有 啥 功能 ， 可 以 忽略 他 。 但 如 果 你 的 主机 上 面 有 两 张 一 模 一 样 的 网 卡 ， 使 用 的 模 
块 是 相同 的 。 此 时 ， 你 的 Linux 很 可 能 会 将 eth0, eth1 搞 混 ， 而 造成 你 网 络 设 定 的 
困扰 。 如 何 解 决 呢 ? 由 于 MAC 是 直接 写 在 网 卡 上 的 ， 因 此 指定 HWADDR 到 这 个 
配置 文件 中 ， 就 可 以 解决 网 卡 对 应 代号 的 问题 了 ! 很 方便 吧 | 设 定 完毕 之 后 ， 现 在 
让 我 们 来 重新 启动 网 络 接口 吧 ! 这 样 才 能 更 新 整个 网 络 参数 嘱 ! 


[root@www ~]# /etc/init.d/network restart 


Shutting down interface etho: [ OK ] &lLt;== 先 关闭 界面 
Shutting down loopback interface: [ OK |] 
Bringing up loopback interface: [ OK ] &lt;== 再 开启 界面 
Bringing up interface etho: [ Ook] 


# 针对 这 部 主机 的 所 有 网 络 接口 (包含 10) 与 通讯 阅 进 行 重新 启动 ， 所 以 网 络 会 停顿 再 开 


这 样 就 处 理 完 毕 哆 ， 那 接 下 来 当然 就 是 观察 看 看 史 ! 


# 检查 一 : 当然 是 要 先 察 看 IP 参数 对 否 ， 重 点 是 IP 与 Netmask 啦 ! 
[root@www ~]# ifconfig etho 
etho Link encap:Ethernet Hwaddr 08:00:27:71:85:BD 
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:655 errors:0 dropped:0 overruns:0 frame:0 
TX packets:468 errors:0 dropped:0 overruns:0 carrier:0 
collisions:© txqueuelen:1000 
RX bytes:61350 (59.9 KiB) TX bytes:68722 (67.1 KiB) 
# 有 出 现 上 头 那 个 IP 的 数据 才 是 正确 的 启动 ; 特别 注意 inet addr 与 Mask 项 目 
# 这 里 如 果 没 有 成 功 ， 得 回去 看 看 配置 文件 有 没有 错误 ， 然 后 再 重新 network restart |! 





# 检查 二 : 检查 一 下 你 的 路 由 设 定 是 否 正确 
[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 0.0.0.0 255525552550 U 0 0 9 etho 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 UG 0 0 9 etho 


# 重点 就 是 上 面 的 特殊 字体 ! 前 面 的 0.0.0.0 代表 预 设 路 由 的 设 定 值 ! 


# 检查 三 : 测试 看 看 与 路 由 器 之 间 是 否 能 够 联机 成 功 呢 ! 

[root@www ~]# ping -c 3 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=2.08 ms 
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.309 ms 
64 bytes from 192.168.1.254: icmp_seq=3 tt1=64 time=0.216 ms 


--- 192.168.1.254 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2004ms 

rtt min/avg/max/mdev = 0.216/0.871/2.088/0.861 ms 

# 注意 啊 !1 有 出 现 ttl 才 是 正确 的 响应 ! 如 果 出 现 『 Destination Host Unreachable J 
# 表示 没有 成 功 的 联机 到 你 的 GATEWAY 那 表 示 出 问题 啦 ! 赶紧 检查 有 无 设 定 错误 。 


要 注意 ， 第 三 个 检查 如 果 失 败 ， 可 能 要 看 你 的 路 由 器 是 否 已 经 关闭 ? 或 者 是 你 的 
switch/hub 是 否 有 问题 ， 或 者 是 你 的 网 络 线 是 否 错误 ， 还 是 说 你 的 或 路 由 器 的 防火 墙 设 
定 错误 了 ? 要 记得 去 解决 喔 ! 这 三 个 检查 做 完 而 且 都 成 功 之 后 ， 那 么 你 的 TCP/IP 参数 
设 定 已 经 完毕 了 ! 这 表示 你 可 以 使 用 IP 上 网 啦 ! 只 是 还 不 能 够 使 用 主机 名 上 网 就 是 了 。 
接 下 来 就 是 要 设 定 DNS 哆 ! 


.DNS 服务 器 的 IP 设 定 与 观察 


这 个 /etc/resolv.conf 很 重要 只 | 他 会 影响 到 你 是 否 可 以 查询 到 主机 名 与 IP 的 对 应 喔 ! 通 
常 如 下 的 设 定 就 OK 了 | 


[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


我 们 以 中 华电 信和 与 SeedNet 在 南部 的 DNS 服务 器 之 IP 作为 设 定 的 方式 ! 请 注意 一 下 ， 
如 果 你 不 知道 你 的 最 接近 的 DNS 服务 器 的 IP ， 那 么 直接 输入 nameserver 168.95.1.1 
这 个 中 华电 信 的 DNS 主机 即 可 ! 不 过 如 果 你 公司 内 部 有 设 定 防止 DNS 的 要 求 封包 的 防 
火 墙 规则 时 ， 那 么 你 就 得 要 请 教 贵 公司 的 网 管 单位 告知 你 的 DNS IP 设 定 啦 ! 然后 赶紧 测 
试看 看 : 


# 检查 四 : 看 看 DNS 是 否 顺利 运作 了 呢 ? 很 重要 的 测试 喔 ! 
[root@www ~]# dig www.google.com 

,,.. (前 面 省 略 ),..， 

;; QUESTION SECTION: 

;www .go0ogle.com. IN A 





;; ANSWER SECTION: 


www.google.com. 428539 IN CNAME www.1.google.com., 
www.1.go0gle.com. 122 IN A 74.125.71.106 
de 


;; Query time: 30 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) &lLt;== 这 里 的 项 目 也 很 重要 ! 
;; WHEN: Mon Jul 18 01:26:50 2011 

;; MSG SIZE rcvd: 284 


上 面 的 输出 有 两 个 重点 ， 一 个 是 问题 查询 的 是 www.google.com 的 A (Address) 参数 ， 并 
且 从 回答 (Answer) 里 面 得 到 我 们 所 需 的 IP 参数 。 最 后 面 一 段 的 Server 项 目 非常 重要 ! 
你 得 要 看 是 否 与 你 的 设 定 相同 的 那 部 DNS 服务 器 IP 才 行 ! 以 上 面 输出 为 例 ， 乌 哥 使 用 
中 华电 信 的 DNS 服务 器 ， 所 以 就 出 现 168.95.1.1 的 IP 地 址 喝 。 


.主机 名 的 修改 、 启 动 与 观察 


修改 主机 名 就 得 要 改 /etc/sysconfig/network 以 及 /etc/hosts 这 两 个 档案 ， 这 两 个 档案 的 
内 容 又 简单 的 要 命 喔 ! 


[root@www ~]# vim /etc/sysconfig/network 
NETWORKING=yes 
HOSTNAME=www.centos.vbird 


[root@www ~]# vim /etc/hosts 
192.168.1.100 www,centos.vbird 
# 特别 注意 ， 这 个 档案 的 原本 内 容 不 要 删除 ! 只 要 新 增 额 外 的 数据 即 可 ! 


修改 完毕 之 后 要 顺利 启动 的 话 ， 得 要 重新 启动 才 可 以 。 为 什么 需要 重新 启动 呢 ? 因为 系 
统 已 经 有 非常 多 的 服务 启动 了 ， 这 些 服务 如 果 需 要 主机 名 ， 都 是 到 这 个 档案 去 读 取 的 。 
而 我 们 知道 配置 文件 更 新 过 后 ， 服 务 都 得 要 重新 启动 才 行 。 因此， 已 经 启动 而 且 有 读 到 
这 个 档案 的 服务 ， 就 得 要 重新 启动 啊 | 丨 麻烦 一 因此 ， 最 简单 的 方法 ， 就 是 重新 启动 。 
但 重 开机 之 前 还 需要 进行 一 项 工作 ， 否 则 ， 你 的 系统 开机 会 花 掉 很 多 时 间 嘱 |! 


[root@www ~]# hostname 
lJocalhost.localdomain 
# 还 是 默认 值 ， 尚 未 更 新 成 功 ! 我 们 还 得 要 进行 底下 的 动作 ! 


# 检查 五 : 看 看 你 的 主机 名 有 没有 对 应 的 IP 呢 ? 没有 的 话 ， 开 机 流程 会 很 慢 ! 

[root@www ~]# ping -c 2 www.centos.vbird 

PING www.centos.vbird (192.168.1.100) 56(84) bytes of data. 

64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=1 tt1=64 time=0.015 ms 
64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=2 tt1=64 time=0.028 ms 


--- Www.centos.vbird ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1000ms 
rtt min/avg/max/mdev = 0.015/0.021/0.028/0.008 ms 

# 因为 我 们 有 设 定 /etc/hosts 规定 www.centos.vbird 的 IP ， 

# 所 以 才 找 的 到 主机 主机 名 对 应 的 正确 IP ! 这 时 才能 够 reboot 喔 ! 重要 重要 ! 





上 面 的 信息 中 ， 检 查 的 内 容 总 共有 五 个 步 又， 这 五 个 步骤 每 一 步 都 要 成 功 后 才能 够 继续 往 下 
处 理 喔 ! 至 于 最 重要 的 一 点 ， 当 你 修改 过 /etc/sysconfig/network 里 面 的 HOSTNAME 后 ， 
务必 要 重新 启动 (reboot)。 但 是 重新 启动 之 前 ， 请 务必 『 ping 主机 名 」 且 得 到 time 的 响应 才 


行 ! 


4.2.2 自动 取得 IP 参数 (DHCP 方法 ， 适 用 Cable modem、IP 
分 享 器 的 环境 ) 


可 自动 取得 IP 的 环境 是 怎么 回 事 啊 ? 不 是 很 简单 吗 ? 当 你 在 IP 分 享 器 后 头 的 主机 在 设 定 
时 ， 不 是 都 会 选择 『 自 动 取得 IP 」 吗 ? 那 就 是 可 自动 取得 IP 的 环境 啦 ! 那么 这 个 自动 取得 
是 怎么 回 事 啊 ? 也 不 难 了 解 啦 ， 其 实 就 是 『 有 一 部 主机 提供 DHCP 服务 给 整个 网 域内 的 计算 
机 J 就 是 了 ! 例如 IP 分 享 器 就 可 能 是 一 部 DHCP 主机 。 那 么 DHCP 是 哈 ? 他 是 : Dynamic 
Host Configuration Protocol 的 简写 ， 顾 名 思 义 ， 他 可 以 『 动 态 的 调整 主机 的 网 络 参数 〗 的 意 
思 。 详 细 的 DHCP 功能 我 们 会 在 第 十 二 章 说 明 的 。 好 了 ， 那 么 这 个 方法 适合 哪些 联机 的 方式 
呢 ? 大 致 有 这 些 : 


。 Cable Modem : 就 是 使 用 电视 缆 线 进行 网 络 回路 联机 的 方式 啊 ! 
e ADSL 多 IP 的 DHCP 制 : 就 鸟 哥 所 知 ，SeedNet 有 推出 一 种 专案 ， 可 以 让 ADSL 用 户 


以 DHCP 的 方式 来 自动 取得 IP ， 不 需要 拨 接 。 那 使 用 的 也 是 这 种 方法 ! 

e@ |P 分 享 器 或 NAT 有 架设 DHCP 服务 时 : 当 你 的 主机 位 于 IP 分 享 器 的 后 端 ， 或 者 是 你 的 
LAN 当中 有 NAT 主机 且 NAT 主机 有 架设 DHCP 服务 时 ， 那 取得 |P 的 方法 也 是 这 样 
喔 1 


你 依旧 需要 前 一 小 节 手 动 设 定 IP 的 主机 名 设 定 (第 三 步骤 )， 至 于 IP 参数 与 DNS 则 不 需要 额 
外 设 定 ， 仅 需要 修改 ifcfg-eth0 即 可 喔 ! 这 样 处 理 吧 : 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE=etho 

HWADDR="08:00:;27:71:85:BD" 

NM_CONTROLLED="no" 

ONBOOT=yes 

BOOTPROTO=dhcp 


[root@www ~]# /etc/init.d/network restart 


Shutting down interface etho: [ OK ] &lt;== 先 关闭 界面 
Shutting down loopback interface : [ OK ] 
Bringing up loopback interface : [ OK ] &lt;== 再 开启 界面 
Bringing up interface etho: [ okK] 


Determining IP information for eth0.. [ OK ] &lt;== 重要 ! 是 DHCP 的 特点 |! 
# 你 可 以 透 过 最 后 一 行 去 判断 我 们 是 否 有 透 过 DHCP 协议 取得 IP ! 


我 们 局 域 网 络 内 的 IP 分 享 器 或 DHCP 主机， 就 会 立刻 帮 你 的 Linux 主机 做 好 网 络 参 数 的 规 
划 ， 和 包括 IP 参数 与 GATEWAY 等 ， 就 通通 设 定 妥 当 啦 | 很 方便 也 很 简单 吧 ! 


Tips: 基本 上 ，/etc/resolv.conf 预 设 会 被 DHCP 所 修改 过 ， 因 此 你 不 需要 修改 
/etc/resolv.conf。 甚 至 连 主机 名 都 会 被 DHCP 所 修订 。 不 过 ， 如 果 你 有 特殊 需求 ， 那 么 
/etc/sysconfig/network 以 及 /etc/hosts 请 自行 修改 正确 吻 ! 


4.2.3 ADSL 拨 接 上 网 (适用 台湾 ADSL 拨 接 以 及 光纤 到 大 楼 ) 


终于 来 到 台湾 最 热门 的 ADSL 拨 接 上 网 的 介绍 啦 ! 来 谈 一 谈 如 何在 Linux 上 拨 接 上 网 吧 ! 要 
拨 接 上 网 时 ， 可 以 使 用 rp-pppoe 这 和 套 软 件 来 帮忙 ( 注 1)， 所 以 ， 你 必须 要 确认 你 的 Linux 
distributions 上 面 已 经 存在 这 个 玩意 儿 了 ! CentOS 本 身 就 含有 rp-pppoe ， 请 使 用 原版 光 

盘 ， 或 者 是 使 用 yum 来 进行 安装 吧 ! 


[root@www ~]# mount /dev/cdrom /mnt 

[root@www ~]# cd /mnt/Packages 

[root@www ~]# rpm -ivh rp-pppoe* ppp* 

[root@www ~]# rpm -q rp-pppoe 
rp-pppoe-3.10-8.e16.x86_64 &1lLt;== 你 瞧 瞧 ! 确实 已 经 安装 喔 ! 


当然 ， 很 多 distributions 都 已 经 将 拨 接 这 个 动作 归 类 到 图 形 接 口 里 面 去 了 ， 所 以 可 能 没有 提供 
rp-pppoe 这 个 吹 吹 ， 没 关系 ， 你 可 以 到 底下 的 网 站 去 取得 的 : 


e http:/www.roaringpenguin.com/pppoey/ 
e http://freshmeat.net/projects/rp-pppoe/ 


然后 再 自行 手动 安装 即 可 。 如 何 安装 的 过 程 乌 哥 在 这 里 就 不 谈 了 ， 请 自行 前 往 基 础 篇 的 原始 
码 与 Tarball 章节 查阅 相关 资料 吧 。 另外 请 注意 ， 虽 然 整个 联机 是 由 主机 的 以 太 网 络 卡 连接 到 
ADSL 调制 解 调 器 上 ， 然 后 再 透 过 电话 线路 联机 到 |SP 的 机 房 去 ， 最 后 在 主机 上 以 rp-pppoe 
拨 接 达成 联机 。 但 是 rp-pppoe 使 用 的 是 Point to Point (ppp) over Ethernet 的 点 对 点 协议 所 
产生 的 网 络 接口 ， 因 此 当 你 顺利 的 拨 接 成 功 之 后 ， 会 多 产生 一 个 实体 网 络 接口 下 ppp0 J 

喔 |! 


而 由 于 ppp0 是 架构 在 以 太 网 络 卡 上 的 ， 你 必须 要 有 以 太 网 卡 ， 同 时 ， 即 使 拨 接 成 功 后 ， 你 也 
不 能 将 没有 用 到 的 eth0 关闭 喔 ! 注意 注意 ! 因此 ， 拨 接 成 功 后 就 会 有 : 


e@ 内 部 循环 测试 用 的 lo 接口 ; 
e。 网 络 卡 eth0 这 个 接口 ; 
e。 拨 接 之 后 产生 的 经 由 |SP 对 外 连接 的 ppp0 接口 。 


虽然 ppp0 是 架构 在 以 太 网 卡 上 面 的 ， 但 上 头 这 三 个 接口 在 使 用 上 是 完全 独立 的 ， 互 不 相干 ， 
所 以 关于 eth0 的 使 用 上 ， 你 就 可 以 这 样 思考 : 


张 网 络 卡 (假设 是 eth0) 有 接 内 部 网 络 (LAN) : 


这 
举例 来 说 ， 如 果 你 的 局 域 网 络 如 同 第 三 章 的 图 3.1-1 所 示 ， 也 就 是 说 ， 你 的 ppp0 可 以 连 
上 Internet ， 但 是 内 网 则 使 用 eth0 来 跟 其 他 内 部 主机 联机 时 ， 那 么 你 的 IP 设 定 参数 : 
/etc/sysconfig/network-scripts/ifcfg-eth0 应 该 要 给 予 一 个 私有 IP 以 使 内 部 的 LAN 也 可 以 
透 过 eth0 来 进行 联机 啊 ! 所 以 鸟 哥 会 这 样 设 定 : 

[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 

DEVICE=etho 

BOOTPROTO=none 

NM_CONTROLLED=no 

IPADDR=192 .168.1.100 


NETMASK=255 .255.255.0 
ONBOOT=yes 


并 请 记得 一 件 事 情 ， 那 就 是 : 『 千 万 不 要 有 GATEWAY 的 设 定 ! 」， 因 为 ppp0 拨 接 成 
功 后 ，|SP 会 主动 的 给 予 ppp0 接口 一 个 可 以 连 上 Internet 的 default gateway ， 如 果 你 
又 设 定 另 一 个 default gateway ， 两 个 网 关 可 能 会 造成 你 的 网 络 不 通 哩 ! 


至 于 其 


这 部 主机 仅 有 连接 ADSL 调制 解 调 器 ， 并 没有 内 部 网 域 : 


如 果 这 部 Linux 主机 是 直接 连接 到 ADSL 调制 解 调 器 上 头 ， 并 没有 任何 内 部 主机 与 其 联 
机 ， 也 就 是 说 ， 你 的 eth0 有 没有 IP 都 没有 关系 时 ， 那 么 上 面 的 设 定 当 中 的 那个 『 
ONBOOT=yes J」 直 接 改 成 『 ONBOOT=no 4 就 好 了 ! 那 拨 接 不 会 有 问题 吗 ? 没关系 
啊 ， 因 为 你 拨 接 启动 ppp0 时 ， 系 统 会 主动 的 唤醒 eth0 ， 只 是 eth0 不 会 有 1IP 信息 就 是 
了 。 


他 的 档案 请 参考 4.2.1 手动 设 定 IP 的 联机 方法 来 处 理 即 可 。 当然 啦 ， 拨 接 之 前 ， 请 确 


认 你 的 ADSL 调制 解 调 器 (小 乌龟 ) 已 经 与 主机 联机 妥当 ， 也 取得 账号 与 密码 ， 也 安装 好 了 rp- 
pppoe ， 然 后 就 来 处 理 吧 ! 


1. 


设 定 连 接 到 ADSL 调制 解 调 器 那 张 网 卡 ( 暂 订 为 eth0) 


说 实在 的 ， 鸟 哥 比较 建议 将 内 外 网 域 分 的 清 清 楚楚 比较 好 ， 所 以 ， 通 常 我 都 是 主机 上 面 
接 两 块 网 络 卡 ， 一 张 对 内 一 张 对 外 ， 对 外 的 那 张 网 卡 预 设 是 不 启动 的 (ONBOOT=no)。 
考虑 到 你 可 外 & 仅 有 一 张 网 卡 ， 那 么 鸟 哥 也 会 给 你 建议 ， 直 接 给 eth0 一 个 私有 IP 接口 
吧 | 设 定 就 如 同 本 节 稍 早 提 到 的 那样 史 ! 


设 定 拨 接 的 账号 与 密码 


好 了 ， 那 么 开始 来 设 定 你 ee ! 这 个 动作 只 要 在 第 一 次 建立 账号 /密码 时 处 理 
即 可 ， 未 来 除非 账号 密码 改变 了 ， 否则 这 RE ! (留意 一 下 ， 拨 接 
的 设 定 指令 有 改变 喔 ! 与 之 前 的 adsl-setup 不 一 样 哆 ! 仔细 看 看 ! ) 


[root@www ~]# pppoe-setup 
Welcome to the PPPOE client setup. First, I will run some checks on 
your system to make sure the PPPOE client is installed properly... 


LOGIN NAME (从 ISP 处 取得 的 账号 填 入 处 ) 

Enter your Login Name (default root): T1234567 

# 注意 啊 ! 这 个 账号 名 称 是 ISP 给 的 ， 其 中 如 果 是 SeedNet ， 输 入 如 上 ， 

# 如 果 是 Hinet 的 话 ， 就 得 要 输入 Username@hinet .net， 后 面 的 主机 名 也 要 写 。 


INTERFACE (ADSL 调制 解 调 器 所 接 的 网 卡 代号 ) 

Enter the Ethernet interface connected to the PPPOE modem 
For Solaris, this is likely to be something like /dev/hmeo0. 
For Linux, it will be ethX，where 'X' is a number. 

(default eth0): etho 


Enter the demand value (default no): no 


DNS (就 填 入 ISP 处 取得 的 DNS 号 码 吧 ) 
Enter the DNS information here: 168.95.1.1 
Enter the secondary DNS server address here: &1lt;== 若 无 第 二 部 就 按 enter 


PASSWORD (从 ISP 处 取得 的 密码 啊 !1 ) 
Please enter your Password: &lLt;== 输 入 密码 两 次 ， 屏 幕 不 会 有 星 号 * 哩 1! 
Please re-enter your Password : 


USERCTRL (要 不 要 让 一 般 用 户 启动 与 关闭 ? 最 好 是 不 要 | ) 
Please enter 'yes' (three letters, lower-case.) if you want to allow 
normal user to start or stop DSL connection (default yes): no 


FIREWALLING (防火 墙 方面 ， 先 取消 ， 用 自己 未 来 设 定 的 ) 

The firewall choices are: 

© - NONE: This script will not set any firewall rules. You are responsible 
for ensuring the security of your machine. You are STRONGLY 
recommended to use some kind of firewall rules. 

1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation 

2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway 

for a LAN 
Choose a type of firewall (0-2): 0 


Start this connection at boot time (要 不 要 开机 立即 启动 拨 接 程序 ? ) 
Do you want to start this connection at boot time? 
Please enter no or yes (default no) :yes 


** Summary of what you entered ** 
Ethernet Interface: etho 


User name : T1234567 
Activate-on-demand: No 

Primary DNS : 168.95.1.1 
Firewalling: NONE 

User Control: no 


Accept these settings and adjust configuration files (y/n)? y 
Adjusting /etc/sysconfig/network-scripts/ifcfg-ppp0 
Adjusting /etc/resolv.conf 
(But first backing it up to /etc/resolv.conf.bak) 
Adjusting /etc/ppp/chap-secrets and /etc/ppp/pap-secrets 
(But first backing it up to /etc/ppp/chap-secrets.bak) 
(But first backing it up to /etc/ppp/pap-secrets.bak) 
上 面具 有 特殊 字体 的 档案 主要 功能 是 : 
ifcfg-ppp9 ”: 亦 即 是 ppp9 这 个 网 络 接口 的 配置 文件 案 ; 
resolv.conf : 这 个 档案 会 被 备份 后 ， 然 后 以 刚刚 我 们 上 面 输入 的 DNS 数据 取代 ; 
pap-secrets，chap-secrets : 我 们 输入 的 密码 就 放 在 这 里 ! 


闪闪 亲 宁 


这 样 设 定 就 成 功 啦 ! 很 简单 吧 ! 唯一 需要 注意 的 是 在 上 面 的 Username 那个 地 方 ， 千 万 
注意 ， 因 为 hinet 与 seednet 的 设 定 是 不 一 样 的 |! 千 万 小 心 呢 ! 否则 会 无 法 连 上 线 哆 |! 
此 外 ， 由 于 我 们 在 未 来 还 会 有 firewall 的 建 置 ， 所 以 这 里 不 太 需 要 使 用 到 防火 墙 啦 ! 否 
则 也 可 能 无 法 连 上 Internet 哆 ! 另外 ， 注 意 一 下 ， 一 般 拨 接 需 要 的 身份 认证 机 制 透 过 的 


是 chap 与 pap( 注 2)， 在 rp-pppoe 这 套 软 件 中 ， 就 将 两 种 认证 机 制 所 需 的 数据 通通 记录 
下 来 啦 ! 那 就 是 chap-secrets, pap-secrets ， 你 可 以 分 别 察看 两 个 档案 的 内 容 ， 就 知道 
那 是 啥 吹 吹 了 ! 


. 透 过 adsl-start, pppoe-start 或 network restart 开始 拨 接 上 网 


启动 ADSL 的 方法 很 多 ， 通 常 鸟 哥 都 是 使 用 /etc/init.d/network restart 即 可 处 理 ! 不 过 ， 
如 果 发 生 一 些 不 明 的 错误 ， 也 可 以 使 用 pppoe-stop 关闭 后 再 以 pppoe-start 立即 局 动 拨 
接 试 看 看 。 通常 比较 容易 出 问题 的 地 方 在 于 硬件 的 联机 情况 ， 请 先 确认 所 有 的 硬件 联机 
没有 问题 喔 |! 通常 ， 如 果 你 使 用 小 乌龟 (ATU-R) 时 ， 请 使 用 跳 线 连接 网 络 卡 与 ATU-R 。 
另外 一 个 容易 出 错 的 地 方 在 于 输入 的 账号 与 密码 ， 账号 与 密码 都 是 你 的 |SP 给 你 的 ， 并 
且 注 意 大 小 写 (可 以 到 /etc/ppp/{chap,pap}-secrets 察看 一 下 是 否 设 定 错误 ? ) 


， 开始 检查 的 步骤 : 


上 面 的 步骤 搞定 就 可 以 连 上 Internet 了 。 如 果 担 心 设 定 方面 有 问题 ， 可 以 透 过 手动 设 定 
IP 的 那个 小 节 的 五 个 步骤 去 检查 看 看 ， 指 令 分 别 是 : 


[root@www ~]# ifconfig 

[root@www ~]# route -n 

[root@www ~]# ping GW 的 IP 
[root@www ~]# dig www.google.com 
[root@www ~]# hostname 


比较 特殊 的 是 ， 因 为 ADSL 拨 接 是 透 过 点 对 点 (ppp) 协议 ， 所 谓 的 点 对 点 ， 就 是 你 的 
ppp0 直接 连接 到 |SP 的 某 个 点 (IP) ， 所 以 ， 理 论 上 ，ppp0 是 个 独立 的 IP ， 并 没有 子 
网 ! 因此 ， 当 你 察看 ppp0 的 网 络 参数 时 ， 他 会 变 成 这 样 : 


[root@www ~]# ifconfig ppp0 
pppo Link encap:Point-to-Point Protocol 
inet addr:111.255.69.90 P-t-P:168.95.98.254 Mask:255.255.255.255 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 
RX packets:59 errors:0 dropped:0 overruns:0 frame:0 
TX packets:59 errors:0 dropped:0 overruns:0 carrier:0 
collisions:© txqueuelen:3 
RX bytes:7155 (6.9 KiB) TX bytes:8630 (8.4 KiB) 


如 上 所 示 ， 那 个 inet addr 就 是 你 的 IP ， 而 P-t-P 就 是 Gateway 的 意思 啦 ! 你 也 会 看 
到 ，Mask 是 255.255.255.255 哩 ! 没有 子 网 哆 ! 要 仔细 看 清楚 哩 ! 


.取消 拨 接 功能 (Option) 
如 果 你 明明 没有 ADSL 联机 ， 但 是 却 作 了 上 面 的 动作 ， 那 么 得 要 注意 喔 ， 因 为 每 次 重新 
启动 网 络 都 会 花 很 多 时 间 在 侦 测 ADSL 调制 解 调 器 上 。 所 以 嚼 ， 我 们 得 要 修改 ppp0 的 配 


置 文件 才 行 。 动 作 很 简单 ， 将 /etc/sysconfig/network-scripts/ifcfg-ppp0 内 的 ONBOOT 
改 成 no， 然后 进行 : 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ppp0O 
DEVICE=ppp0 

ONBOOT=no 

es 


[root@www ~]# chkconfig pppoe-server off 


很 快 的 ， 这 样 你 就 已 经 做 好 ADSL 拨 接 上 网 的 动作 了 ! 很 快乐 吧 ! 但 是 不 要 忘记 了 ， 你 的 主 
机 若 还 没有 更 新 (update) 系统 ， 丽 怕 资 安 方面 会 有 些 问 题 哩 ! 所 以 ， 赶 紧 往 下 两 个 章节 读 读 


去 ! 


4.3 无 线 网 络 -- 以 笔记 本 电脑 为 例 


除了 使 用 实体 RJ-45 线路 来 连接 网 络 之 外 ， 由 于 现在 笔记 本 电脑 渐渐 广 为 使 用 ， 因 此 在 笔记 

本 电脑 上 面 的 无 线 网 络 (Wireless Local Area Network, WLAN) 也 越 来 越 重要 哆 一 针对 无 线 网 
络 所 提出 的 标准 中 ， 早 期 是 IEEE 802.11b / 802.11g 较为 重要 ， 其 中 802.11g 这 个 标准 的 传 

输 速度 已 经 可 以 达到 54Mbps 的 水 平 。 不 过 ， 近 期 以 来 还 有 新 的 标准 ， 那 就 是 802.11n ( 注 3) 
， 这 个 标准 的 理论 传输 速度 其 至 可 达 300Mbps 哩 ! 所 以 哩 ， 我 们 也 得 稍微 介绍 一 下 无 线 网 络 
足 ! 


Tips: 无 线 网 络 的 机 制 非常 多 ， 我 们 现在 常 听 到 的 主要 有 Wi-Fi (可 想 成 是 802.11 相关 标准 ) 
以 及 WiMAX (802.16, 注 4) 等 ， 在 底下 我 们 主要 介绍 的 是 目前 使 用 较 广泛 的 Wi-Fi 相关 无 线 
网 卡 喔 | 可 不 要 搞 错 哆 | 





4.3.1 无 线 网 络 所 需要 的 硬件 : AP、 无 线 网 卡 


我 们 知道 在 RJ-45 的 以 太 网 络 联 机 环境 中 ， 以 switch/hub 以 及 网 络 卡 与 网 络 线 最 重要 ， 该 架 
构 中 主要 以 switch/hub 串 接 所 有 的 网 络 设备 。 那 么 在 无 线 网 络 中 ， 当 然 也 需要 一 个 接收 讯号 
的 装置 ， 那 就 是 无 线 基地 台 (Wireless Access Point, 简称 AP) 了 ! 另 一 个 装置 当然 就 是 安装 
在 计算 机 主机 上 面 的 无 线 网 卡 嘿 |! 


其 实 无 线 基 地 台 本 身 就 是 个 IP 分 享 器 了 ， 他 本 身 会 有 两 个 接口 ， 一 个 可 以 与 外 部 的 IP 做 沟 
通 ， 另 外 一 个 则 是 作为 LAN 内 部 其 他 主机 的 GATEWAY 哩 1 那 其 他 主机 上 面 只 要 安装 了 无 线 
网 卡 ， 并 且 顺 利 的 连 上 AP 后 ， 自 然 就 可 以 透 过 AP 来 连 上 Internet 啦 ! 整个 传输 的 情况 可 以 
用 下 图 来 示意 : 





AP 态 DSL 族 制 解 调 器 


PCA 图 4.3-1、 无 线 网 络 的 联机 图 


在 上 图 中 ， 我 们 假设 PC 人 A 与 PC B 这 两 部 主机 都 有 安装 无 线 网 卡 ， 因 此 他 们 可 以 扫 瞄 到 局 域 
网 络 内 的 AP 存在 ， 所 以 可 以 透 过 这 个 AP 来 连 上 Internet 啊 。 在 不 考虑 内 部 LAN 联机 的 情 

况 下 ，AP 如 何 连 上 Internet 呢 ? 虽然 每 部 AP 的 控制 接口 都 不 相同 ， 不 过 绝 大 部 分 的 AP 都 

是 提供 Web 接口 来 设 定 的 ， 因 此 你 可 以 参考 每 部 AP 的 说 明 书 来 进行 设 定 ， 在 这 里 鸟 哥 就 不 
多 说 了 。 


鸟 哥 就 以 手边 有 的 设备 来 说 明 这 个 项 目 ， 使 用 的 设备 如 下 : 


。 AP : TP-Link (TL-WR941ND) 
。 USB 的 无 线 网 卡 : D-Link (DWA-140)， 使 用 RT3070sta 驱动 程序 


比较 凄惨 的 是 ，CentOS 6.x 预 设 不 支持 DWA-140 这 个 USB 的 无 线 网 卡 ， 因 此 原本 我 们 还 得 
要 自行 手动 下 载 USB 无 线 网 卡 的 驱动 程序 才 行 ! 更 怪 的 是 ， 我 们 的 核心 侦 测 到 的 模块 是 
rt2870sta， 但 实际 上 该 硬件 使 用 的 是 rt3070sta 模 块 .…. 为 了 这 个 ， 搞 了 鸟 哥 两 、 三 天 的 时 间 去 
解决 问题 ... 还 好 ， 由 世界 上 热心 的 网 友 回 报 支持 Linux 的 无 线 网 卡 网 站 说 明 ， 发 现 这 只 USB 
是 支援 Linux 的 喔 ! 如 下 网 址 所 示 。 而 且 ， 已 经 有 公司 将 这 个 网 卡 编译 成 CentOS 6.x 可 以 使 
用 的 RPM 档案 嘿 ! 相关 网 址 如 下 : 


e 网 友 们 热心 提供 : http://linux-wless.passys.nl/query_part.php?brandname=D-Link 
。 帮 有 我 们 打包 成 RPM 的 公司 : http://rpm.pbone.net/index.php3 
e。 Ralink 官网 的 下 载 处 ; http://www.ralinktech.com/support.php?s=2 


鸟 哥 最 终 由 上 面 第 二 个 网 址 下 载 的 两 个 档案 是 : kmod-rt3070sta-2.5.0.1- 
2.el6.elrepo.x86_64.rpm, rt2870-firmware-22-1.el6.elrepo.noarch.rpm。 鸟 哥 将 他 放置 于 /root 
底下 ， 等 一 下 再 来 安装 。 


Tips: 这 张 USB 无 线 网 卡 让 鸟 哥 搞 到 一 个 头 两 个 大 | 基本 上 ，Linux 核心 预 设 不 支持 的 设备 ， 
建议 不 要 购买 啦 ! 否则 很 难处 理 ! 乌 哥 觉得 这 个 DWA-140 感觉 就 是 张 恶 魔 卡 一 好 怪 一 好 难 


摘 .… 


4.3.2 关于 AP 的 设 定 : 网 络 安全 方面 


如 果 你 留心 一 下 图 4.3-1， 那 么 就 可 以 发 现 一 件 事 情 ， 那 就 是 : 『 如 果 AP 不 设 定 任何 联机 限 
制 ， 那 任何 拥有 无 线 网 卡 的 主机 都 可 以 透 过 这 个 AP 连接 上 你 的 LAN 」， 要 知道 ， 通 常 我 们 
都 会 认为 LAN 是 信任 网 域 ， 所 以 内 部 是 没有 防火 墙 的 ， 亦 即 是 不 设防 的 状态 ， 呵 呵 | 如 果 刚 
好 有 人 拿 着 笔记 本 电脑 经 过 你 的 AP 可 以 接收 讯号 的 范围 ， 那 么 他 就 可 以 轻易 的 透 过 你 的 AP 
连接 上 你 的 LAN ， 并 且 可 以 透 过 你 的 AP 连 上 Internet ， 如 果 他 刚好 是 个 喜欢 搞 破坏 的 
cracker ， 哈 哈 ! 那么 当 他 使 用 你 的 AP 去 攻击 别人 时 ， 最 后 被 发 现 的 跳板 是 谁 ? 了 当然 是 你 的 
AP ! 那 是 谁 会 吃 上 官司 ? 够 清楚 了 吧 ? 而 且 你 内 部 主机 的 数据 也 很 有 可 能 被 窃取 啊 ! 


所 以 啦 ，『 无 线 网 络 的 安全 性 一 定 是 具有 很 大 的 漏洞 的 」， 没 办 法 ， 因 为 无 线 网 络 的 传输 并 
不 是 透 过 实体 的 网 络 线 ， 而 是 透 过 无 线 讯 号 ， 实 体 网 络 线 很 好 控制 ， 无 线 讯号 你 如 何 侦 测 
啊 ? 对 吧 ! 因此 ， 请 你 务必 在 你 的 AP 上 面 进 行 好 联机 的 限制 设 定 ， 一 般 可 以 这 样 做 限制 
的 : 


。 在 AP 上 面 使 用 网 卡 卡号 (MAC) 来 作为 是 否 可 以 存 取 AP 的 限制 : 


如 此 一 来 ， 就 只 有 你 允许 的 网 络 卡 才能 够 存 取 你 的 AP ， 当 然 会 安全 不 少 。 不 过 这 个 方法 
有 个 问题 ， 那 就 是 当 有 其 他 主机 想 要 透 过 这 个 AP 联机 时 ， 你 就 得 要 手动 的 登入 AP 去 
进行 MAC 的 设 定 ， 在 经 常 有 变动 性 装置 的 环境 中 (例如 公司 行 号 或 学 校 )， 这 个 方法 比 
较 厅 烦 ~- 


。 设 定 你 的 AP 联机 加 密 机 制 与 密 钥 : 


另 一 个 比较 可 行 的 办 法 就 是 设 定 联 机 时 所 需要 的 验证 密 钥 ! 这 个 密 钥 不 但 可 以 在 网 络 联 
机 的 数据 当中 加 密 ， 使 得 即使 你 的 数据 被 窃听 ， 对方 也 是 仅 能 得 到 一 堆 乱 码 ， 同 时 由 于 
client 端 也 需要 知道 密 钥 并 且 在 联机 阶段 输入 密 钥 ， 因 此 也 可 以 被 用 来 限制 可 联机 的 用 户 
啊 | 


当然 ， 上 面 两 种 方法 你 可 以 同时 设 定 ， 亦 即 不 但 需要 联机 的 密 钥 ， 而 且 在 AP 处 也 设 定 能 够 存 
取 的 MAC 网 卡 ， 嘿 嘿 ! 这 样 一 来 ， 就 更 安全 的 多 了 ( 注 5)。 底 下 让 我 们 来 介绍 一 下 AP 里 面 
经 常 要 了 解 的 数据 ， 那 就 是 ESSID/SSID 虽 ! 


。 关于 ESSID/SSID : 


想 一 想 ， 如 果 你 有 两 部 AP 在 同一 个 局 域 网 络 内 ， 那 么 请 问 一 下 ， 当 你 的 无 线 网 卡 在 上 网 时 ， 
他 会 透 过 哪 一 个 AP 联机 出 去 呢 ? 很 困扰 ， 对 吧 ! 其 实 每 部 AP 都 会 有 一 个 联机 的 名 字 ， 那 就 
是 SSID 或 ESSID， 这 个 SSID 可 以 提供 给 client 端 ” 当 client 端 需 要 进行 无 线 联机 时 ， 他 


可 
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必须 要 说 明 他 要 利用 哪 一 部 AP ， 那 个 ESSID 就 是 那 时 需要 输入 的 数据 了 ! 在 鸟 哥 的 案例 当 
中 ， 我 将 我 的 AP 设 定 为 vbird tsai 这 个 名 字 ， 并 且 给 予 一 个 密 钥 密码 ， 设 定 的 方法 如 同 下 
图 所 示 : 


TP-LINK 


产品 状 能 
快速 安装 精 雪 
Qss 





ee 无 勿 握 路 名 者 (SSID): [vbin_tai 
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-— 提醒 : 请 您 泪 择 正确 的 地 区 ， 尾 合 省 地 扰 牧 通讯 的 法 律 规定 。 
-无名 拉 路 加 密 误 定 不 正确 的 座 定 在 某 些 国家 可 淫 言 礼法 | 
- 短 斩 拉 路 MAC 位 址 控制 1 2 
- 和 无 儿 揣 路 进 附 或 定 频道 : 自动 ” 
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DHCP 和 介 服 器 频 着 宽 诺 : 自动 v 
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固定 路 由 
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ARP 狮 定 

DDNS 起 定 


图 4.3-2、 无 线 网 络 AP 的 SSID 设 定 项 目 


克 ”名 用 『「 手 牧 榈 路 名 帮 (S 蚜 DD) 显示 j 
厂 各 用 “WDSj 幅 接 





如 上 图 ， 在 登入 了 AP 的 设 定 项 目 后 ， 依 序 (1) 先 选择 无 线 网 络 里 面 的 『 无 线 网 络 设 定 」 ， 然 
后 在 右边 的 窗口 当中 (2) 填 写 正确 的 SSID 号 码 ， 然 后 按 下 (3) 储 存 即 可 。 之 后 就 是 密码 项 目 
啦 ! 密码 项 目的 设 定 画面 如 下 : 


4.3 无 线 网 络 -- 以 笔记 本 电脑 为 例 


独 路 恒定 





竹 锦 莘 路 站 WPA/WPA2 
- 乱入 手 路 武 定 版 本 : [自动 吏 择 -| 

加 密 方式 : | 自动 选择 了 | 
- 珀 入 狗 路 WAC 臣 址 控 站 1 Radius 向 服 圳 IP 位 址 : | 
- 特 独 狂 路 进 阶 发 定 Radius 何 慑 器 使 用 通 录 震 : | 1812 (蓝图 : 1-65535，0 代 表 预 该 通讯 起 181 人 2 
-至 多 狂 路 入 计 音 录 Radius 密 酉 : | 
DHCP 人 向 最 器 组 金 给 更 新 沉 期: 。 [0 (以 秒 计算 ， 最 小 值 高 30，0 代 表 不 更 新 ) 
通读 起 等 向 (NAT) 1 
安全 性 误 定 全 WPA-PSK/WPA2-PSK 
| 
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加 密 方 式 : 
固定 路 由 
有 频 宽 管 理 2 PSK 金 编 ( 密 三 ): 123456789aaa 
ARP 禾 定 (次 可 以 输入 8-63 位 的 ASCI 码 [0-9IA-Za- 习 或 8-64 位 的 16 进 位 码 [0-9IA-F1a- 仙 
DDNS 芝 证 组 金 给 更 新 滔 期 : ”| ( 疏 秒 计算 ， 最 小 值 高 30，0 代 胡 不 更 新 ) 
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图 4.3-3、 无 线 网 络 AP 的 密 钥 设 定 项 目 


我 们 先 选 择 (1) 无 线 网 络 加 密 设 定 ， 然 后 在 右边 窗口 (2) 点 选 WPA-PSK/WPA2-PSK 的 加 密 方 
式 ， 然 后 (3) 输 入 加 密 的 密 铀 长 度 ， 岛 哥 这 里 填写 的 算是 简单 到 爆炸 的 密码 ， 小 朋友 不 要 学 
喔 ! 卉 完 后 按 下 储存 即 可 。 这 个 时 候 我 们 就 会 有 底下 两 个 数据 : 


e。 SSID : vbird tsai 
。 密 乌 密码 : 123456789aaa 


这 仅 是 个 范例 说 明 ! AP 设 定 就 到 此 为 止 ， 如 果 您 的 设 定 有 不 同 的 地 方 ， 请 自行 查询 您 AP 的 
操作 手册 哆 ! 


4.3.3 利用 无 线 网 卡 开始 联机 


无 线 网 卡 有 很 多 模式 ， 乌 哥 选 择 的 是 USB 无 线 网 卡 ， 所 以 想 要 知道 有 没有 捉 到 这 张 网 卡 ， 就 
得 要 使 用 lsusb 来 检查 ， 如 果 核 心 预 设 不 支持 ， 还 得 要 自行 编译 驱动 程序 才 行 ! 如 前 所 述 ， 
我 们 的 驱动 程序 已 经 扣 在 /root 底下 了 | 


1. 检查 无 线 网 卡 的 硬件 装置 


使 用 USB 无 线 网 卡 的 检查 方式 如 下 : 


[root@www ~]# lsusb 

Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 

Bus 001 Device 003: ID 07d1:3coa D-Link System DWA-140 RangeBooster 
N Adapter(rev.B2) [Ralink RT2870] 

BUS 001 .9061; ID 1d6b:0002 Linux Foundation 2.0 root hub 

# 是 有 提 到 的 ! 只 是 ， 有 加 载 吗 ? 不 知道 呢 ! 继续 往 下 检查 看 看 ! 


2.， 察看 模块 与 相对 应 的 网 卡 代 号 : (modinfo 与 iwconfig) 


道 核 心 侦 测 到 这 张 网 卡 ， 能 不 能 正确 的 加 载 模块 呢 ? 来 瞧 瞧 : 


[root@www ~]# iwconfig 

】 0 no wireless extensions. 

etho no wireless extensions. 

# 要 出 现 名 为 wlang 之 类 的 网 卡 才 是 有 提 到 喔 ! 所 以 没有 加 载 正 确 模块 啦 ! 


因为 ee 的 驱动 程序 ， 现 在 让 我 们 来 安装 刚刚 下 载 的 RPM 驱动 程序 吧 ! 请 先 将 
USB 拔 出 来 ， 然 后 再 安装 RPM 档案 。 安 装 的 方法 不 要 说 你 忘记 了 | 


[root@www ~]# rpm -ivh kmod-rt3070sta* rt2870-firmware* 
# 这 个 动作 会 进行 很 久 ， 似 乎 程序 在 侦 测 硬件 的 样子 ! 
# 这 个 吹 吹 做 完 之 后 ， 请 将 USB 网 卡 插入 USB 插 槽 吧 ! 


[root@www ~]# iwconfig 


】 0 no wireless extensions. 
etho no wireless extensions. 
ra0 Ralink STA 


这 个 iwconfig 是 用 在 作为 无 线 网 络 设 定之 用 的 一 个 指令 ， 与 ifconfig 类 似 ! 不 过 ， 当 我 们 
使 用 iwconfig 时 ， 如 果 有 发 现 上 述 的 特殊 字体 ， 那 就 代表 该 网 络 接 口 使 用 的 是 无 线 网 卡 
的 意思 啊 | 虽然 有 时 你 会 看 到 无 线 网 卡 为 wlan0 之 类 的 代号 ， 不 过 这 张 网 卡 却 使 用 ra0 
作为 代号 ， 拉 有 趣 的 |! 


利用 iwlist 侦 测 AP : 


好 了 ， 接 下 来 要 干 嘛 ?2 当然 是 看 看 我 们 的 无 线 网 卡 是 否 能 够 找到 AP 啊 1 所 以 ， 首 先 我 们 
要 局 动 无 线 网 卡 ， 就 利用 ifconfig 即 可 : 


[root@www ~]# ifconfig ra up 


局 动 网 卡 后 才能 以 这 个 网 卡 来 搜寻 整个 区 域内 的 无 线 基 地 台 啊 ! 接 下 来 ， 直 接 使 用 iwlist 
来 使 用 这 个 无 线 网 卡 搜寻 看 看 吧 | 


[root@www ~]# iwlist rag Scan 
rag Scan completed : 
Cell 01 - Address: 74:EA:3A:C9:EE:1A 
Protocol:802.11b/g/n 
ESSID: "vbird tsai" 
Mode :Managed 
Frequency:2.437 GHz (Channel 6) 
Quality=100/100 Signal level=-45 dBm Noise level=-92 dBm 
Encryption key:on 
Bit Rates:54 Mb/s 
IE: WPA Version 1 
Group Cipher : CCMP 
Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
IE: IEEE 802.11i/WPA2 Version 1 
Group Cipher : CCMP 
Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
. . (底下 省 略 ) ,... 


从 上 面 可 以 看 到 (1) 这 个 无 线 AP 的 协议 ， 并 且 也 能 够 知道 (2)ESSID 的 名 号 是 没 错 的 |! 
当然 啦 ，(3) 连 加 密 的 机 制 是 WPA2-PSK 也 是 能 够 得 知 的 ! 这 与 前 一 小 节 的 AP 设 定 是 相 
符合 的 1 (4) 使 用 的 无 线 频道 是 6 号 ， 接 下 来 呢 ? 就 得 要 去 修改 配置 文件 ， 这 部 份 很 麻 
烦 ， 请 参考 如 下 的 网 页 来 设 定 : 


o https://wiki.archlinux.org/index.php/Rt2870 


[root@www ~]# ifconfig rag down && rmmod rt3070sta 
[root@www ~]# vim /etc/Wireless/RT2870STA/RT2870STA. dat 
Default 

CountryRegion=5 

CountryRegionABand=7 


CountryCode=TW &1t ;== 人 台湾 的 国 码 代 号 ! 

ChannelGeography=1 

SSID=vbird_ tsai &1t;== 你 的 AP 的 ESSID 喔 ! 
NetworkType=Infra 

WirelessMode=9 &1t ;== 与 无 线 AP 支持 的 协议 有 关 ! 参考 上 述 网 址 说 明 
Channe1=6 &1lLt;== 与 CountryRegion 及 侦 测 到 的 频道 有 关 的 设 定 ! 
1( 衬 间 首 覆 ) 

AuthMode=WPAPSK &1t;== 我 们 的 AP 提供 的 认证 模式 
EncrypType=AES &1t; == 传送 认证 码 的 加 密 机 制 啊 | 
WPAPSK="123456780aaa"  &1lt;== 密 钥 密 码 ! 最 好 用 双 引 号 括 起 来 较 佳 ! 
es 


# 岛 哥 实际 有 修改 的 ， 就 是 上 面 有 特别 说 明 的 地 方 ， 其 余 的 地 方 都 保留 默认 值 即 可 。 
# 更 奇怪 的 是 ， 每 次 ifconfig rag down 后 ， 这 个 档案 会 英名 其 妙 的 修改 掉 @_@ 


[root@www ~]# modprobe rt3070sta && ifconfig rag up 
[root@www ~]# iwconfig rag0 
rag0 Ralink STA ESSID:"vbird tsai" Nickname:"RT2870STA" 
Mode:Auto Frequency=2.437 GHz Access Point: 74:EA:3A:C9:EE:1A 
Bit Rate=1 Mb/s 
RTS thr:off Fragment thr:off 
Encryption key:off 
Link Quality=100/100 Signal Jevel:-37 dBm Noise level:-37 dBm 
Rx invalid nwid:© Rx invalid crypt:0 Rx invalid frag:0 
Tx excessive retries:0 Invalid misc:0 Missed beacon:0 


如 果 顺 利 出 现 上 面 的 数据 ， 那 就 表示 你 的 无 线 网 卡 已 经 与 AP 接 上 线 了 ~ 再 来 则 是 设 定 网 
络 卡 的 配置 文件 哆 1^ 人 ^ 


设 定 网 络 卡 配置 文件 (ifcfg-ethn) 


为 我 们 的 网 络 卡 使 用 的 代号 是 ra0， 所 以 也 是 需要 在 /etc/sysconfig/network-scripts 设 
定好 相对 应 的 档案 才 行 啊 ! 而 由 于 我 们 的 这 块 卡其 实 是 无 线 网 卡 ， 所 以 很 多 设 定 值 都 与 
原本 的 以 太 网 络 卡 不 同 ， 详 细 的 各 项 变量 设 定 你 可 以 自行 参考 一 下 底下 的 档案 : 


o /etc/sysconfig/network-scripts/ifup-wireless 至 于 我 的 网 络 卡 设 定 是 这 样 的 : 


[root@www ~]# cd /etc/sysconfig/network-scripts 

[root@www network-scripts]# vim ifcfg-rao0 

DEVICE=ra0 

BOOTPROTO=dhcp 

ONBOOT=no ”&lt;== 若 需 要 每 次 都 自动 启动 ， 改 成 yes 即 可 |! 

ESSID=vbird_ tsai 

RATE=54M &1t;== 可 以 严格 指定 传输 的 速率 ， 要 与 上 面 jwconfig 相同 ， 单 位 b/s 


要 注意 的 是 那个 ONBOOT=no 的 设 定 ， 如 果 你 想 要 每 次 开机 时 无 线 ， 网 卡 都 会 自动 局 
动 ， 那 就 将 他 设 定 为 yes 吧 ! 否则 就 设 定 为 no 嚼 | 要 启动 再 以 ifup ra0 来 启动 即 可 | 
呼 呼 ! 到 此 为 止 ， 你 的 无 线 网 卡 已 经 可 以 顺利 的 给 他 启动 了 喔 ! 很 快乐 吧 1 ^ 人 人 ^ 


Tips: 其 实 上 面 那个 配置 文件 的 内 容 都 是 在 规划 出 iwconfig 的 参数 而 已 ， 所 以 你 除了 可 以 


查阅 ifup-wireless 的 内 容 外 ， 可 以 man iwconfig ， 会 知道 的 更 详细 喔 ! 而 最 重要 的 参数 
当然 就 是 ESSID 及 KEY 哆 ! ^^ 


1， 启 动 与 观察 无 线 网 卡 


要 启动 就 用 ifup wlan0 来 启动 ， 很 简单 啦 ! 要 观察 就 用 iwconfig 及 ifconfig 分 别 观察 ， 底 
下 你 自己 瞧 瞧 就 好 啊 !| ^ 和 ^ 


[root@www ~]# Ifup rag 
Determining IP information for ra0... done. 


整个 流程 就 是 这 么 简单 喔 ! 一 般 来 说 ， 目 前 比较 常见 的 笔记 本 电脑 内 建 的 Intel 无 线 网 络 模块 
(Centrino) 适用 于 Linux 的 ipw2200/ipw21000 模块 ， 所 以 设 定 上 也 是 很 快 ! 因为 CentOS 6.x 
预 设 就 有 支持 ， 你 不 必 重 新 安装 无 线 网 卡 驱 动 程序 ! 那 直接 透 过 上 述 的 方式 来 处 理 你 的 无 线 
网 络 即 可 ! 很 快速 又 方便 吧 ! 本 章 结尾 的 参考 数据 处 ， 鸟 可 还 是 列 出 许多 与 无 线 网 卡 有 关 的 
连结 ， 你 可 以 自行 前 往 查阅 与 你 的 无 线 网 卡 有 关 的 信息 喔 ( 注 6) ! ^ ^ 


豆 ， 


4.4 常见 问题 说 明 


其 实 这 个 小 节 也 很 重要 的 | 因为 可 以 让 你 在 念 完 理论 后 ， 了 解 一 下 如 何 利 用 那些 概念 来 查询 
你 的 网 络 设 定 问题 吗 ! 底下 我 们 就 针对 几 个 常见 的 问题 来 说 说 看 吧 ! 


4.4.1 内 部 网 域 使 用 某 些 联机 服务 (如 FTP, POP3) 所 过 到 的 联机 延 
迟 问 题 


你 或 许 曾 经 听 过 这 样 的 问题 : 『 我 在 我 的 内 部 区 域 网 域内 有 几 部 计算 机 ， 这 几 部 计算 机 明明 
都 是 在 同一 个 网 域 之 内 ， 而 且 系统 通通 没有 问题 ， 为 什么 我 使 用 pop3 或 者 是 ftp 连 上 我 的 
Linux 主机 会 停顿 好 久 才 连 上 ?但 是 连 上 之 后 ， 速 度 就 又 恢复 正常 1 4 


由 于 网 络 在 联机 时 ， 两 部 主机 之 问 会 互相 询问 对 方 的 主机 名 配合 的 IP ， 以 确认 对 方 的 身份 。 
在 目前 的 因特网 上 面 ， 我 们 大 多 使 用 Domain Name System (DNS) 系统 做 为 主机 名 与 IP 网 
应 的 查询 ， 那 就 是 我 们 在 上 面 提 到 的 /etc/resolv.conf 档案 内 设 定 的 IP 由 来 ， 如果 没有 指定 
正确 的 DNS IP 的 话 ， 那 么 我 们 就 无 法 查询 到 主机 名 与 IP 的 对 应 了 。 


公开 的 因特网 可 以 这 样 设 定 ， 但 是 如 果 是 我 们 内 部 网 域 的 私有 1P 主机 呢 ? 因为 是 私有 1 上 |P 的 

主机 ， 所 以 当然 无 法 使 用 /etc/resolv.conf 的 设 定 来 查询 到 2 ! 那 怎 么 办 ?要 
知道 ， 如 果 两 部 主机 之 间 无 法 查询 到 正确 的 主机 名 与 IP 的 对 应 ， 那 么 能 J Ge 
询 主 机 名 对 应 的 动作 ， 这 个 动作 一 般 需要 持续 30-60 秒 ， 因 此 ， 你 ee 持续 

主机 名 30 秒 钟 ， 也 就 会 造成 奇怪 的 delay 的 情况 。 


人 LAN ， 例 如 使 用 192.168.1.1 的 主机 联机 到 192.168.1.2 的 主 
机 。 这 个 问题 虽然 可 以 透 过 修改 软件 的 设 定 来 略 过 主机 名 的 检查 ， 但 是 绝 大 多 数 的 软件 都 是 
默认 启用 这 个 机 制 的 ， 因 此 ， 内 部 主机 『 老 是 联机 时 期 很 慢 ， 联 机 成 功 后 速度 就 会 恢复 正 
常 ] 时 ， 通 常 就 是 这 个 问题 啦 ! 尤其 是 在 FTP 及 POP3 等 网 络 联机 软件 上 最 常见 


那么 如 何 避 过 这 个 情况 ? 最 简单 的 方法 就 是 『 给 予 内 部 的 主机 每 部 主机 一 个 名 称 与 IP 的 对 
应 」 即 可 。 举 例 ， 我 们 知道 每 部 主机 都 有 一 个 主机 名 为 localhost ， 对 应 到 127.0.0.1 ， 
为 什么 呢 ? 因为 这 个 127.0.0.1 与 localhost 的 对 应 就 被 写 到 /etc/hosts 内 嘛 ! 当 我 们 需要 主 
机 名 与 IP 的 对 应 时 ， 系 统 就 会 先 到 /etc/hosts 找寻 对 应 的 设 定 值 ， 如 果 找 不 到 ， 才 会 使 用 
/etc/resolv.conf 的 设 定 去 因特网 找 。 这 样 说 ， 你 明白 了 吧 ? 也 就 是 说 ， 只 要 修改 了 
/etc/hosts， 加 入 每 部 主机 与 IP 的 对 应 ， 就 能 够 加 快 主机 名 的 检查 嘿 ! 


了 解 了 吗 ? 所 以 说 ， 你 就 要 将 你 的 私有 IP 的 计算 机 与 计算 机 名 称 写 入 你 的 /etc/hosts 当中 
了 上 这 也 是 为 啥 我 们 在 主机 名 设 定 的 地 方 ， 特别 强调 第 五 个 检查 步骤 的 缘故 。 我 们 来 看 一 看 
/etc/hosts 原本 的 设 定 内 容 吧 | 


[root@www ~]# cat /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

127.0.0.1 localhost.localdomain localhost 
# 主机 的 IP 主机 的 名 称 主机 的 别名 


在 上 面 的 情况 中 很 容易 就 发 现 了 设 定 的 方法 了 吧 ! 很 简单 吧 ! 没 错 ! 那 就 是 IP 对 应 主机 名 

啦 1 那么 现在 知道 为 什么 我 们 给 他 ping localhost 的 时 候 ， 地 址 会 写 出 127.0.0.1 了 吧 ! 那 
就 是 写 在 这 个 档案 中 的 啦 ! 而 且 localhost 那 一 行 不 能 拿 掉 吻 ! 否则 系统 的 某 些 服务 可 能 就 会 
无 法 被 启动 ! 好 了 ! 那么 将 我 局 域 网 络 内 的 所 有 的 计算 机 IP 都 给 他 写 进 去 ! 并且， 每 一 部 给 
他 取 一 个 你 喜欢 的 名 字 ， 即 使 与 client 的 计算 机 名 称 设 定 不 同 也 没关系 啦 | 以 鸟 哥 为 例 ， 如 
果 我 还 额外 加 设 了 DHCP 的 时 候 ， 那 么 我 就 干脆 将 所 有 的 C Class 的 所 有 网 段 全 部 给 他 写 入 
/etc/hosts 当中 ， 有 点 像 底 下 这 样 : 


[root@www ~]# vim /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

"127 ORORL localhost.localdomain localhost 
192.168.1.1 十 linux001 

92 L082 + linux002 

192.168.1.3 十 linux003 


192.168.1.254 linux254 


如 此 一 来 ， 不 论 我 哪 一 部 计算 机 连 上 来 ， 不 论 是 在 同一 个 网 段 的 哪 一 个 IP ， 我 都 可 以 很 快速 
的 追查 到 ! 嘿嘿 上 那么 区 内 网 络 互 连 的 时 候 ， 就 不 会 多 等 个 好 几时 秒 钟 哆 | 


4.4.2 网 址 列 无 法 解析 问题 


很 多 朋友 常 问 的 一 个 问题 『 号 ! 我 可 以 拨 接 上 网 了 ， 也 可 以 ping 到 奇摩 雅虎 的 IP ， 但 为 何 就 
是 无 法 直接 以 网 址 连 上 Internet 呢 1J 嘿 1 被 气 死 | 前 面 不 是 一 直 强 调 那个 DNS 解析 的 问题 
吗 ? 对 啦 1 就 是 名 称 解析 不 对 啦 ! 赶快 改 一 下 /etc/resolv.conf 这 个 档案 吧 ! 改 成 上 层 ISP 给 
你 的 DNS 主机 的 IP 就 可 以 啦 上 例如 Hinet 的 168.95.1.1 及 Seednet 的 139.175.10.20 史 ! 
例如 底下 的 范例 (这 个 范例 就 可 以 照抄 了 1 ^ 人): 


[root@www ~]# vi /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


朋友 们 常常 会 在 这 个 地 方 写 错 ， 因 为 很 多 书 上 都 说 这 里 要 设 定 成 为 NAT 主机 的 IP ， 那 根本 
就 是 不 对 的 ! 你 应 该 要 将 所 有 管理 的 计算 机 内 ， 关 于 DNS 的 设 定 都 直接 使 用 上 面 的 设 定 值 即 
可 1 除非 你 的 上 层 环 境 有 使 用 防火 墙 ， 那 才 另 外 考虑 ! 


4.4.3 预 设 路 由 的 问题 


记得 我 们 在 前 两 章 提 到 的 网 络 基础 当中 ， 不 是 讲 了 很 多 预 设 路 由 (default gateway) 相关 的 说 
明 吗 ? 预 设 路 由 通常 仅 有 一 个 ， 用 来 做 为 同一 网 域 的 其 他 主机 传递 非 本 网 域 的 封包 网 关 。 但 

我 们 也 知道 在 每 个 网 络 配 置 文 件 案 (/etc/sysconfig/network-scripts/ifcfg-ethx) 内 部 都 可 以 指定 
『 GATEWAY J」 这 个 参数 ， 若 这 个 参数 重复 设 定 的 话 ， 那 可 就 麻烦 啦 ! 


举例 来 说 ， 你 的 ifcfg-eth0 用 来 做 为 内 部 网 域 的 沟通 ， 所 以 你 在 该 档案 内 设 定 GATEWAY 为 
你 自己 的 IP ， 但 是 该 主机 为 使 用 ADSL 拨 接 ， 所 以 当 拨 接 成 功 后 会 产生 一 个 ppp0 的 接口 ， 
这 个 ppp0 接口 也 有 自己 的 default gateway ， 好 了 ， 那 么 当 你 要 将 封包 传送 到 Yahoo 这 个 非 
为 本 网 域 的 主机 时 ， 这 个 封包 是 要 传 到 eth0 还 是 ppp0 呢 ? 因为 两 个 都 有 default gateway 
啊 | 


没 错 ! 很 多 朋友 就 是 这 里 摘 不 懂 啦 ! 常常 会 错乱 ~ 所 以 ， 请 注意 ， 你 的 default gateway 应 该 
能 有 一 个 ， 如 果 是 拨 接 ， 请 不 要 在 ifcfg-eth0 当中 指定 GATEWAY 或 GATEWAYDEV 等 变 


更 多 的 网 络 除 错 请 参考 后 续 第 六 章 Linux 网 络 侦 错 的 说 明 。 


4.5 重点 回顾 


Linux 以 大 网 络 卡 的 默认 代号 为 eth0, eth1 等 等 , 无 线 网 卡 则 为 wlan0, ra0 等 等 ; 

若 需 要 自行 编译 网 卡 驱动 程序 时 ， 则 你 必须 要 先 安装 gcc, make, kernel-header 等 软件 。 
内 部 网 域 的 私有 IP 之 主机 的 『IP 与 主机 名 的 对 应 」， 最 好 还 是 写 入 /etc/hosts ， 可 以 
克服 很 多 软件 的 IP 反 查 所 花费 的 等 待 时 间 。 

IP 参数 设 定 在 /etc/sysconfig/network-scripts/ifcfg-eth0 当中 ， 主 机 名 设 定 在 
/etc/sysconfig/network 当中 ，DNS 设 定 在 /etc/resolv.conf 当中 ， 主 机 名 与 IP 的 对 应 设 
定 在 /etc/hosts ; 

在 GATEWAY 这 个 参数 的 设 定 上 面 ， 务 必 检 查 妥 当 ， 仅 设 定 一 个 GATEWAY 即 可 。 

可 以 使 用 /etc/init.d/network restart 来 重新 启动 整个 系统 的 网 络 接口 。 

若 使 用 DHCP 协议 时 ， 则 请 将 GATEWAY 取消 设 定 ， 避 免 重 复出 现 多 个 default 
gateway ， 反 而 造成 无 法 联机 的 状况 。 

ADSL 拨 接 后 可 以 产生 一 个 新 的 实体 接口 ， 名 称 为 ppp0 

无 线 网 卡 与 无 线 基 地 台 之 间 的 联机 由 于 是 透 过 无 线 接口 ， 所 以 需要 特别 注意 网 络 安全 ; 
常见 的 无 线 基 地 台 (AP) 的 联机 防护 ， 主 要 利用 控制 登入 者 的 MAC 或 者 是 加 上 联机 加 密 机 
制 的 密 钥 等 方法 ; 

设 定 网 络 卡 可 以 使 用 ifconfig 这 个 指令 ， 而 设 定 无 线 网 卡 则 需要 iwconfig ， 至 于 扫 瞄 基地 
合 ， 可 以 使 用 iwlist 这 个 指令 。 


4.6 本 章 习 题 


我 要 如 何 确定 我 在 Linux 系统 上 面 的 网 络 卡 已 经 被 Linux 捉 到 并 且 驱 动 了 ? 网 络 卡 能 不 能 
被 捉 到 可 以 使 用 『 dmesglgrep eth 4 来 判断 ， 有 没有 驱动 则 可 以 使 用 lsmod 看 看 模块 有 
没有 加 载 核心 ! 最 后 ， 以 ifconfig eth0 192.168.0.10 测试 看 看 ! 

假设 我 的 网 络 参 数 为 : IP 192.168.100.100, Netmask 255.255.255.0, 请 问 我 要 如 何在 
Linux 上 面 设 定好 这 些 网 络 参 数 (未 提 及 的 网 络 参 数 请 自行 定义 ! )? 请 使 用 手动 与 档案 设 
定 方法 分 别 说 明 。 手 动 设 定 为 : 『 ifconfig eth0 192.168.100.100 netmask 
255.255.255.0 up 」 档案 设 定 为 : vi /etc/sysconfig/network-scripts/ifcfg-eth0 ， 内 容 

为 : DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.100.100 
NETMASK=255.255.255.0 NETWORK=192.168.100.0 BROADCAST=192.168.100.255 
要 启动 则 使 用 ifup eth0 即 可 ! 

我 要 将 我 的 Linux 主机 名 改名 字 ， 步 骤 应 该 如 何 (更 改 那个 档案 ? 如 何 启 用 ? )?Linux 主 
机 名 在 /etc/sysconfig/network 这 个 档案 里 面 的 『HOSTNAME= 主 机 名 J 来 设 定 ， 先 以 vi 
来 修改 ， 改 完 后 可 以 使 用 /etc/init.d/network restart 不 过 建议 直接 reboot 启动 主机 名 |! 
/etc/resolv.conf 与 /etc/hosts 的 功能 为 何 ? 以 主机 名 了 寻找 IP 的 方法 ，/etc/resolv.conf 内 
填写 DNS 主机 名 ， 至 于 /etc/hosts 则 直接 填写 主机 名 对 应 的 IP 即 可 ! 其 中 /etc/hosts 
对 于 内 部 私有 |P 的 主机 名 查询 非常 有 帮助 ! 

我 使 用 ADSL 拨 接 连 上 Internet ， 请 问 拨 接 成 功 之 后 ， 我 的 Linux 上 面 会 有 几 个 网 络 接 
口 (假设 我 只 有 一 个 网 络 卡 )? 因为 拨 接 是 使 用 PPP (点 对 点 ) 协 议 ， 所 以 拨 接 成 功 后 会 多 
出 一 个 ppp0 的 接口 ， 此 外 ， 系 统 原 本 即 有 eth0 及 lo 这 两 个 界面 ， 所 以 共有 三 个 界面 。 
一 般 来 说 ， 如 果 我 拨 接 成 功 ， 也 取得 了 ppp0 这 个 接口 ， 但 是 却 无 法 对 外 联机 成 功 ， 你 
认为 应 该 是 哪里 出 了 问题 ? 该 如 何 解决 ? 因为 拨 接 成 功 了 ， 表 示 物 理 对 外 联机 没有 问 
题 ， 那 么 可 能 的 问题 应 该 是 发 生 在 Gateway 上 面 了 ! 确认 的 方法 请 使 用 route -n 查阅 路 
由 信息 ， 然 后 修订 /etc/sysconfig/network-scripts/ifcfg-eth0 吧 ! 

如 果 你 的 局 域 网 络 环境 内 有 可 以 控 管 的 无 线 AP 时 ， 请 自行 查 出 如 何以 MAC 的 方式 管理 
可 登入 的 用 户 ， 并 将 你 的 无 线 AP 做 好 联机 加 密 的 密 钥 设 定 。 请 自行 测试 ! 谢谢 |! 

如 果 一 部 主机 上 面 持 了 两 张 相 同 世 片 的 网 络 卡 ， 代 表 两 者 使 用 的 模块 为 同一 个 ， 此 时 可 
能 会 造成 网 卡 代 号 的 误 判 ; 请 问 你 如 何 克 服 这 个 问题 ?让 网 卡 代号 不 会 变动 ? 以 现在 的 
方法 来 讲 ， 其 实 我 们 可 以 透 过 指定 Hardware Address( 硬 件 地 址 ， 通 称 为 MAC) 来 指定 
网 卡 代 号 与 MAC 的 对 应 。 这 个 设 定 值 可 以 在 ifcfg-ethx 里 面 以 HWADDR 这 个 设 定 项 目 
来 指定 的 。 

如 何在 Linux 上 面 的 文字 接口 搜寻 你 所 在 区 域 的 无 线 AP ? 透 过 直接 使 用 『 iwlist scan J 
这 个 指令 来 指定 茶 个 无 线 网 卡 的 搜寻 | 然后 再 以 iwconfig 来 进行 网 卡 的 设 定 即 可 | 
请 依 序 说 明 : 如 果 你 想 要 新 增 一 块 新 的 网 络 卡 在 你 的 主机 上 ， 并 给 予 一 个 固定 的 私有 IP 
， 应 如 何 进行 ?了 


o 先 关 掉 主机 的 power ， 然 后 拆 掉 机 党 ， 装 上 网 络 卡 ; 
o 开机 完成 后 ， 以 dmesg | grep eth 查询 是 否 可 捉 到 该 网 络 卡 ， 若 无 法 捉 到， 请 编译 


模块 ， 若 可 提 到 ， 找 出 网 卡 代 号 ， 并 且 将 该 模块 与 网 卡 代 号 写 入 
/etc/modprobe.conf 当中 ， 以 利 未 来 开机 时 可 自动 达成 对 应 ; 
o 利用 『 ifconfig "网 卡 代号 " J 来 查询 MAC 为 何 ? 
o 开始 在 /etc/sysconfig/network-scripts 内 建立 ifcfg-" 网 卡 代 号 " 档案 ， 同 时 给 予 
HWADDR 的 对 应 ; 
o 启动 /etc/init.d/network restart 测试 是 否 能 成 功 ! 
e。 如 果 你 想 要 登入 某 个 区 域 的 无 线 AP ， 你 应 该 向 该 处 所 至 少 申请 哪些 数据 ? 无 线 网 络 的 技 
术 相 当 多 且 复 杂 ， 所 以 需要 取得 的 参数 都 不 尽 相 同 。 不 过 ， 至 少 你 还 是 得 要 取得 ESSID 
以 及 KEY 密码 ， 这 样 才 能 够 联机 登入 该 AP 当中 。 


岛 可 的 LinuXx 私 房 


4.7 参考 数据 与 延伸 阅读 


本 到 


注 1 : rp-pppoe 官方 网 站 : http://www.roaringpenguin.com/pppoe/ rp-pppoe 的 安装 方 
法 : http://linux.vbird.org/linux_server/0130internet_connect/0130internet_connect.php# 
connect_adsl 

注 2 : 相关 的 认证 说 明 : chap: http://en.wikipedia.org/wiki/Challenge- 
handshake_authentication_protocol pap: 
http://en.wikipedia.org/wiki/Password_authentication_protocol 

注 3 : 802.11n 在 维基 百科 的 说 明 : http://en.wikipedia.org/wiki/IEEE_802.11n-2009 
注 4 : Wi-Fi http://zh.wikipedia.org/zh-tw/WiFi WiMAX 
http://zh.wikipedia.org/wiki/WIiMAX?variant=zh-tw 

注 5 : 无 线 网 络 安全 白 皮 

书 : http:/www.cert.org.tw/document/docfile/Wireless_Security.pdf 

注 6 : Intel Centrino 的 无 线 网 卡 相 关 模 块 信息 : http:Wipw2100.sourceforge.net/， 
http:Wipw2200.sourceforge.net/ HP 的 许多 无 线 网 络 的 计划 链 

接 : http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/ 
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增 课 后 练习 部 分 2003/09/19 : 加 入 前 往 参 考 用 解答 2006/07/17 : 将 原本 加 文章 移动 到 此 处 
2010/08/21 : 将 原本 基于 CentOS 4.X 的 文章 移动 到 此 处 2010/08/27 : 由 于 目前 的 硬件 环境 
不 同 了 ， 所 以 修改 了 无 线 网 络 的 处 理 方式 ! 2010/08/28 : 终于 修改 完毕 ! 在 无 线 网 卡 的 地 方 
耽误 太 多 时 间 了 ~ 没有 设备 啊 ! 2011/07/15 : 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
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第 五 章 、Linux 常用 网 络 指令 


最 近 更 新 日 期 : 2011/07/18 


Linux 的 网 络 功能 相当 的 强悍 ， 一 时 之 间 我 们 也 无 法 完全 的 介绍 所 有 的 网 络 指令 ， 这 个 章节 主 
要 的 目的 在 介绍 一 些 常见 的 网 络 指令 而 已 。 至 于 每 个 指令 的 详细 用 途 将 在 后 续 服务 器 架设 

时 ， 依 照 指令 的 相关 性 来 进行 说 明 。 当 然 ， 在 这 个 章节 的 主要 目的 是 在 于 将 所 有 的 指令 汇 整 
在 一 起 ， 上 比较 容易 了 解 啦 |! 这 一 章 还 有 个 相当 重要 的 重点 ， 那 就 是 封包 括 取 的 指令 。 若 不 就 
悉 也 没关系 ， 先 放 着 ， 全 部 读 完 后 再 回来 这 一 章 仔细 练习 啊 ! 


e 5.1 网 络 参 数 设 定 使 用 的 指令 
o 5.1.1 手动 /自动 设 定 与 启动 /关闭 IP 参数 : ifconfig, ifup, ifdown 
o 5.1.2 路 由 修改 : route 
o 5.1.3 网 络 参数 综合 指令 : ip 
5.1.4 无 线 网 络 : iwlist, iwconfig 
5.1.5 手动 使 用 DHCP 自动 取得 IP 参数 : dhclient 
。 5.2 网 络 侦 错 与 观察 指令 
o 5.2.1 两 部 主机 两 点 沟通 : ping, 用 ping 追踪 路 径 中 的 最 大 MTU 数值 
5.2.2 两 主机 间 各 节点 分 析 : traceroute 
5.2.3 察看 本 机 的 网 络 联 机 与 后 门 : netstat 
5.2.4 侦 测 主机 名 与 IP 对 应 : host, nslookup 
e 5.3 远程 联机 指令 与 实时 通讯 软件 
o 5.3.1 终端 机 与 BBS 联机 : telnet 
o 5.3.2 FTP 联机 软件 ; ftp, Iftp (自动 化 脚本 ) 
o 5.3.3 图 形 接口 的 实时 通讯 软件 : pidgin (gaim 的 延伸 ) 
e 5.4 文字 接口 网 页 浏览 
o 5.4.1 文字 浏览 器 : links 
o 5.4.2 文字 接口 下 载 器 : wget 
e。 5.5 封包 皂 取 功能 
o 5.5.1 文字 接口 封包 撒 取 器 : tcpdump 
o 5.5.2 图 形 接 口 封包 括 取 器 : wireshark 
o 5.5.3 任意 启动 TCP/UDP 封包 的 堆 口 联机 : nc, netcat 
e 5.6 重点 回顾 
。 5.7 本 章 习 题 
e 5.8 参考 数据 与 延伸 阅读 
e 5.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=26123 
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5.1 网 络 和 参数 设 定 使 用 的 指令 


任何 时 刻 如 果 你 想 要 做 好 你 的 网 络 参数 设 定 ， 和 包括 IP 参数 、 路 由 参数 与 无 线 网 络 等 等 ， 就 得 


要 了 解 底下 这 些 相关 的 指令 才 行 ! 其 中 以 ifconfig 及 route 这 两 支 指令 算是 较 重 要 的 喔 ! 


^ 和 ^! 当然 ， 比 较 新 鲜 的 作法 ， 可 以 使 用 ip 这 个 汇 整 的 指令 来 设 定 IP 参数 啦 ! 


。 ifconfig : 查询 、 设 定 网 络 卡 与 IP 网 域 等 相关 参数 ; 

。 ifup, ifdown : 这 两 个 档案 是 Script， 透 过 更 简单 的 方式 来 启动 网 络 接口 ; 
e route : 查询 、 设 定 路 由 表 (route table) 

。ip : 复合 式 的 指令 ， 可 以 直接 修改 上 述 提 到 的 功能 ; 


5.1.1 手动 /自动 设 定 与 启动 /关闭 IP 参数 : ifconfig, ifup， 
ifdown 

这 三 个 指令 的 用 途 都 是 在 启动 网 络 接口 ， 不 过 ，ifup 与 ifdown 仅 能 就 
/etc/sysconfig/network-scripts 内 的 ifcfg-ethX (X 为 数字 ) 进行 启动 或 关闭 的 动作 ， 并 不 
接 修改 网 络 参数 ， 除 非 手动 调整 ifcfg-ethX 档案 才 行 。 ifconfig 则 可 以 直接 手动 给 予 
接口 IP 或 调整 其 网 络 参数 |! 底下 我 们 就 分 别 来 谈 一 谈 


e。 ifconfig 


能 直 
某 个 


ifconfig 主要 是 可 以 手动 的 启动 、 观 察 与 修改 网 络 接口 的 相关 参数 ， 可 以 修改 的 参数 很 多 啊 ， 


包括 IP 参数 以 及 MTU 等 等 都 可 以 修改 ， 他 的 语法 如 下 : 


[root@www ~]# ifconfig {interface} {up&#124;down} &lt;== 观察 与 启动 接口 
[root@www ~]# ifconfig interface {options} &1t ;== 设 定 与 修改 接口 
选项 与 参数 : 
interface : 网 络 卡 接口 代号 ， 包 括 eth9，eth1，pppg 等 等 
options ”: 可 以 接 的 参数 ， 包 括 如 下 
up，down :启动 (up) 或 关闭 (down) 该 网 络 接口 (不 涉及 任何 参数 ) 
mtu : 可 以 设 定 不 同 的 MTU 数值 ， 例 如 mtu 1500 (单位 为 byte) 
netmask  ”: 就 是 子 屏蔽 网 络 ; 
broadcast : 就 是 广播 地 址 啊 ! 


# 范例 一 : 观察 所 有 的 网 络 接口 (直接 输入 ifconfig ) 
[root@www ~]# ifconfig 
etho Link encap:Ethernet Hwaddr 08:00:27:71:85:BD 
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 


一 般 来 说 ， 直 接 输 入 ifconfig 就 会 列 出 目前 已 经 被 启动 的 卡 ， 不 论 这 个 卡 是 否 有 给 予 IP， 都 
会 被 显示 出 来 。 而 如 果 是 输入 ifconfig eth0， 则 仅 会 秀 出 这 张 接 口 的 相关 数据 ， 而 不 管 该 接 
口 是 否 有 启动 。 所 以 如 果 你 想 要 知道 某 张 网 络 卡 的 Hardware Address， 直 接 输 入 『 ifconfig 
"网 络 接口 代号 "J 即 可 喔 1 ^ 和 人 1 至 于 上 表 出 现 的 各 项 数据 是 这 样 的 (数据 排列 由 上 而 下 、 由 
左 而 右 ) : 


。 eth0 : 就 是 网 络 卡 的 代号 ， 也 有 lo 这 个 loopback ; 

。 HWaddr : 就 是 网 络 卡 的 硬件 地 址 ， 俗 称 的 MAC 是 也 ; 

。 inet addr : IPv4 的 IP 地 址 ， 后 续 的 Bcast, Mask 分 别 代表 的 是 Broadcast 与 netmask 
喔 1! 

。 inet6 addr : 是 IPv6 的 版 本 的 IP ， 我 们 没有 使 用 ， 所 以 略 过 ，; 

。 MTU : 就 是 第 二 章 谈 到 的 MTU 啊 ! 

。 RX : 那 一 行 代表 的 是 网 络 由 启动 到 目前 为 止 的 封包 接收 情况 ，packets 代表 封包 数 、 
errors 代表 封包 发 生 错 误 的 数量 、 dropped 代表 封包 由 于 有 问题 而 遭 丢 齐 的 数量 等 等 

e TX :与 RX 相 反 ， 为 网 络 由 局 动 到 目前 为 止 的 传送 情况 ; 

。 collisions : 代表 封包 碰撞 的 情况 ， 如 果 发 生 太 多 次 ， 表 示 你 的 网 络 状况 不 太 好 ; 

。 txqueuelen : 代表 用 来 传输 数据 的 缓冲 区 的 储存 长 度 ; 

。 RX bytes, TX bytes : 总 接收 、 发 送 字 节 总 量 


透 过 观察 上 述 的 资料 ， 大 致 上 可 以 了 解 到 你 的 网 络 情况 ， 尤 其 是 那个 RX, TX 内 的 error 数 
量 ， 以 及 是 否 发 生 严重 的 collision 情况 ， 都 是 需要 注意 的 喔 1 ^ 人 和 ^ 


# 范例 二 : 暂时 修改 网 络 接口 ， 给 予 ethg 一 个 192.168.100.100/24 的 参数 
[root@www ~]# ifconfig eth0 192.168.100.100 

# 如 果 不 加 任何 其 他 参数 ， 则 系统 会 依照 该 IP 所 在 的 class 范围， 自动 的 计算 出 
# netmask 以 及 network，broadcast 等 IP 参数 ， 若 想 改 其 他 参数 则 : 


[root@www ~]# ifconfig eth0 192.168.100.100 \ 
&gt; netmask 255.255.255.128 mtu 8000 
# 设 定 不 同 参数 的 网 络 接 口 ， 同 时 设 定 MTU 的 数值 ! 


[root@www ~]# ifconfig etho mtu 9000 
# 仅 修改 该 接口 的 MTU 数值 ， 其 他 的 保持 不 动 ! 


[root@www ~]# ifconfig eth0:0 192.168.50.50 
# 仔细 看 那个 界面 是 eth0:0 吕 1! 那 就 是 在 该 实体 网 卡 上 ， 再 仿 丨 一 个 网 络 接口 ， 
# 亦 即 是 在 一 张 网 络 卡 上 面 设 定 多 个 IP 的 意思 啦 ! 


[root@www ~]# ifconfig 
etho Link encap:Ethernet HWwaddr 08:00:27:71:85:BD 
inet addr:192.168.100.100 Bcast:192.168.100.127 Mask:255.255.255.128 
Inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 
RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 
collisions:© txqueuelen:1000 
RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 


etho:0 Link encap:Ethernet HWwaddr 08:00:27:71:85:BD 
inet addr:192.168.50.50 Bcast:192.168.50.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 

# 仔细 看 ， 是 否 与 硬件 有 关 的 信息 都 相同 啊 ! 没 错 ! 因为 是 同一 张 网 卡 嘛 ! 

# 那 如 果 想 要 将 刚刚 建立 的 那 张 eth0:0 关闭 就 好 ， 不 影响 原 有 的 ethg 呢 ? 


[root@www ~]# ifconfig eth0:0 down 
# 关 掉 eth9:9 这 个 界面 。 那 如 果 想 用 默认 值 启 动 eth1 : 『ifconfig eth1 upJ 即 可 达成 


# 范例 三 : 将 手动 的 处 理 全 部 取消 ， 使 用 原 有 的 设 定 值 重建 网 络 参 数 : 
[root@www ~]# /etc/init.d/network restart 
# 刚刚 设 定 的 数据 全 部 失效 ， 会 以 ifcfg-ethX 的 设 定 为 主 ! 





使 用 ifconfig 可 以 暂时 手动 来 设 定 或 修改 某 个 适 配 卡 的 相关 功能 ， 并 且 也 可 以 透 过 eth0:0 这 
种 虚拟 的 网 络 接口 来 设 定好 一 张 网 络 卡 上 面 的 多 个 IP 嘱 ! 手动 的 方式 站 是 简单 啊 ! 并 且 设 定 
着 误 也 不 打 紧 ， 因 为 我 们 可 以 利用 /etc/init.d/network restart 来 重新 启动 整个 网 络 接口 ， 那 么 
之 前 手动 的 设 定数 据 会 全 部 都 失效 喔 ! 另外， 要 启动 某 个 网 络 接 口 ， 但 又 不 让 他 具有 IP 参数 
时 ， 直 接 给 他 ifconfig eth0 up 即 可 ! 这 个 动作 经 常 在 无 线 网 卡 当 中 会 进行 ， 因 为 我 们 必须 要 
启动 无 线 网 卡 让 他 去 侦 测 AP 存在 与 否 啊 |! 


。 ifup, ifdown 


实时 的 手动 修改 一 些 网 络 接口 参数 ， 可 以 利用 ifconfig 来 达成 ， 如 果 是 要 直接 以 配置 文件 ， 
亦 即 是 在 /etc/sysconfig/network-scripts 里 面 的 ifcfg-ethx 等 档案 的 设 定 参数 来 启动 的 话 ， 那 
就 得 要 透 过 ifdown 或 ifup 来 达成 了 。 

[root@www ~]# ifup {interface} 

[root@www ~]# ifdown {interface} 


[root@www ~]# ifup etho 


ifup 与 ifdown 丨 是 太 简 单 了 ! 这 两 支 程序 其 实 是 script 而 已 ， 他 会 直接 到 
/etc/sysconfig/network-scripts 目录 下 搜寻 对 应 的 配置 文件 ， 例 如 ifup eth0 时 ， 他 会 找 出 
ifcfg-eth0 这 个 档案 的 内 容 ， 然 后 来 加 以 设 定 。 关于 ifcfg-eth0 的 设 定 则 请 参考 第 四 章 的 说 
明 。 


不 过 ， 由 于 这 两 支 程序 主要 是 搜寻 配置 文件 (ifcfg-ethx) 来 进行 启动 与 关闭 的 ， 所 以 在 使 用 前 
请 确定 ifcfg-ethx 是 否 站 的 存在 于 正确 的 目录 内 ， 和 否则 会 启动 失败 喔 ! 另外， 如 果 以 ifconfig 
eth0 .... 来 设 定 或 者 是 修改 了 网 络 接口 后 ， 那 就 无 法 再 以 ifdown eth0 的 方式 来 关闭 了 |! 因为 
ifdown 会 分 析 比 对 目前 的 网 络 参数 与 ifcfg-eth0 是 否 相 符 ， 不 符 的 话 ， 就 会 放弃 该 次 动作 。 
此 ， 使 用 ifconfig 修改 完毕 后 ， 应 该 要 以 ifconfig eth0 down 才能 够 关闭 该 界面 强 ! 


5.1.2 路 由 修改 : route 


我 们 在 第 二 章 网 络 基础 的 时 候 谈 过 关于 路 由 的 问题 ， 两 部 主机 之 间 一 定 要 有 路 由 才能 够 互通 
TCPIIP 的 协议 ， 否 则 就 无 法 进行 联机 啊 ! 一般 来 说 ， 只 要 有 网络 接口 ， 该 接口 就 会 产生 一 个 
路 由 ， 所 以 我 们 安装 的 主机 有 一 个 eth0 的 接口 ， 看 起 来 就 会 是 这 样 : 


[root@www ~]# route [-neel] 
[root@www ~]# route add [-net&#124;-host] [网 域 或 主机 ] netmask [mask] [gw&#124;dev] 
[root@www ~]# route del [-net&#124;-host] [网 域 或 主机 ] netmask [mask] [gw&#124;dev] 
观察 的 参数 : 
-n :不 要 使 用 通讯 协议 或 主机 名 ， 直 接 使 用 IP 或 port number ; 
-ee :使 用 更 详细 的 信息 来 显示 
增加 (add) 与 删除 (del) 路 由 的 相关 参数 : 
-net : 表示 后 面 接 的 路 由 为 一 个 网 域 ; 
-host : 表示 后 面 接 的 为 连接 到 单 部 主机 的 路 由 ; 
netmask :与 网 域 有 关 ， 可 以 设 定 netmask 决定 网 域 的 大 小 ; 
gw : gateway 的 简写 ， 后 续 接 的 是 IP 的 数值 喔 ， 与 dev 不 同 ; 
dev : 如 果 只 是 要 指定 由 那 一 块 网 络 卡 联机 出 去 ， 则 使 用 这 个 设 定 ， 后 面 接 ethg 等 
# 范例 一 : 单纯 的 观察 路 由 状态 
[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 9 etho 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 UG 0 0 0 etho 


[root@www ~]# route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 过 25525525500 U 0 0 9 etho 
link-local 2 255.255.0.0 U 1002 0 9 etho 
default 192.168.1.254 0.0.0.0 UG 0 0 9 etho 


由 上 面 的 例子 当中 仔细 观察 route 与 route -n 的 输出 结果 ， 你 可 以 发 现 有 加 -n 参数 的 主要 是 
显示 出 IP ， 至 于 使 用 route 而 已 的 话 ， 显 示 的 则 是 『 主 机 名 J 吕 ! 也 就 是 说 ， 在 预 设 的 情况 
下 ，route 会 去 找 出 该 IP 的 主机 名 ， 如 果 找 不 到 呢 ? 就 会 显示 的 印 印 的 (有 点 小 慢 )， 所 以 
说 ， 鸟 哥 通 常 都 直接 使 用 route -n 啦 ! 由 上 面 看 起 来 ， 我 们 也 知道 default = 0.0.0.0/0.0.0.0 
， 而 上 面 的 信息 有 哪些 你 必须 要 知道 的 呢 ? 


。 Destination, Genmask : 这 两 个 玩意 儿 就 是 分 别 是 network 与 netmask 啦 ! 所 以 这 两 个 
鸣 吹 就 组 合成 为 一 个 完整 的 网 域 嘿 ! 


。 Gateway : 该 网 域 是 通过 哪个 gateway 连接 出 去 的 ? 如 果 显 示 0.0.0.0 表示 该 路 由 是 直接 
由 本 机 传送 ， 亦 即 可 以 透 过 局 域 网 络 的 MAC 直接 传讯 ; 如 果 有 显示 IP 的 话 ， 表 示 该 路 
由 需要 经 过 路 由 器 (通讯 阅 ) 的 帮忙 才能 够 传送 出 去 。 


。 Flags : 总 共有 多 个 旗 标 ， 代 表 的 意义 如 下 : 


o U (route is up) : 该 路 由 是 启动 的 ; 

o H (target is a host) : 目标 是 一 部 主机 (IP) 而 非 网 域 ; 

o G (use gateway) : 需要 透 过 外 部 的 主机 (gateway) 来 转 递 封包 ; 

o R (reinstate route for dynamic routing) : 使 用 动态 路 由 时 ， 恢 复 路 由 信息 的 旗 标 ; 


o D (dynamically installed by daemon or redirect) : 已 经 由 服务 或 转 port 功能 设 定 为 
动态 路 由 
o M (modified from routing daemon or redirect) : 路 由 已 经 被 修改 了 ; 
o ! (reject route) : 这 个 路 由 将 不 会 被 接受 (用 来 抵挡 不 安全 的 网 域 |! ) 
elface : 这 个 路 由 传递 封包 的 接口 。 


此 外 ， 观 察 一 下 上 面 的 路 由 排列 顺序 喔 ， 依 序 是 由 小 网 域 (192.168.1.0/24 是 Class C)， 和 逐渐 
到 大 网 域 (169.254.0.0/16 Class B) 最 后 则 是 预 设 路 由 (0.0.0.0/0.0.0.0)。 然后 当 我 们 要 判断 
某 个 网 络 封包 应 该 如 何 传送 的 时 候 ， 该 封包 会 经 由 这 个 路 由 的 过 程 来 判断 喔 ! 举例 来 说 ， 我 
上 头 仅 有 三 个 路 由 ， 若 我 有 一 个 传 往 192.168.1.20 的 封包 要 传递 ， 那 首先 会 找 
192.168.1.0/24 这 个 网 域 的 路 由 ， 找 到 了 ! 所 以 直接 由 eth0 传送 出 去 ; 


如 果 是 传送 到 Yahoo 的 主机 呢 ? Yahoo 的 主机 IP 是 119.160.246.241， 我 们 通过 判断 们 不 
是 192.168.1.0/24 ，2) 不 是 169.254.0.0/16 结果 到 达 3)0/0 时 ，OK ! 传 出 去 了 ， 透 过 eth0 
将 封包 传 给 192.168.1.254 那 部 gateway 主机 啊 ! 所 以 说 ， 路 由 是 有 顺序 的 。 


因此 当 你 重复 设 定 多 个 同样 的 路 由 时 ， 例 如 在 你 的 主机 上 的 两 张 网 络 卡 设 定 为 相同 网 域 的 IP 
时 ， 会 出 现 什么 情况 ?会 出 现 如 下 的 情况 : 


Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 © etho 
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 © eth1 


也 就 是 说 ， 由 于 路 由 是 依照 顺序 来 排列 与 传送 的 ， 所 以 不 论 封 包 是 由 那个 界面 (eth0, eth1) 
所 接收 ， 都 会 由 上 述 的 eth0 传送 出 去 ， 所以， 在 一 部 主机 上 面 设 定 两 个 相同 网 域 的 IP 本身 
没有 什么 意义 ! 有 点 多 此 一 举 就 是 了 。 除非 是 类 似 虚 拟 机 (Xen, VMware 等 软件 ) 所 架设 的 多 
主机 时 ， 才 会 有 这 个 必要 ~ 


# 范例 二 : 路 由 的 增加 与 删除 

[root@www ~]# route del -net 169.254.0.0 netmask 255.255.0.0 dev etho0 
# 上 面 这 个 动作 可 以 删除 掉 169,254.0.0/16 这 个 网 域 ! 

# 请 注意 ， 在 删除 的 时 候 ， 需 要 将 路 由 表 上 面 出 现 的 信息 都 写 入 

# 包括 netmask ，dev 等 等 参数 喔 ! 注意 注意 


[root@www ~]# route add -net 192.168.100.0 \ 

&gt; netmask 255.255.255.0 dev etho 

# 透 过 route add 来 增加 一 个 路 由 |! 请 注意 ， 这 个 路 由 的 设 定 必须 要 能 够 与 你 的 网 络 互 通 。 
# 举例 来 说 ， 如 果 我 下 达 底 下 的 指令 就 会 显示 错误 : 

# route add -net 192.168.200.0 netmask 255.255.255.0 &lt;u&gt;gw 192.168.200.254&]1t;/u&gt 
# 因为 我 的 主机 内 仅 有 192.168.1.11 这 个 IP ， 所 以 不 能 直接 与 192.168.200.254 
# 这 个 网 段 直接 使 用 MAC 互通 ! 这 样 说 ， 可 以 理解 吗 ? 

[root@www ~]# route add default gw 192.168.1.250 

# 增加 预 设 路 由 的 方法 ! 请 注意 ， 只 要 有 一 个 预 设 路 由 就 够 了 喔 ! 

# 同样 的 ， 那 个 192.168.1.250 的 IP 也 需要 能 与 你 的 LAN 沟通 才 行 ! 

# 在 这 个 地 方 如 果 你 随便 设 定 后 ， 记 得 使 用 底下 的 指令 重新 设 定 你 的 网 络 

# &lt;ug&gt;/etc/init.d/network restart&lt;/u&dt 
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如 果 是 要 进行 路 由 的 删除 与 增加 ， 那 就 得 要 参考 上 面 的 例子 了 ， 其 实 ， 使 用 man route 里 面 
的 数据 就 很 丰富 了 | 仔细 查阅 一 下 哆 ! 你 只 要 记得 ， 当 出 现 『SIOCADDRT: Network is 
unreachableJ 这 个 错误 时 ， 肯 定 是 由 于 gw 后 面 接 的 IP 无 法 直接 与 你 的 网 域 沟通 (Gateway 
并 不 在 你 的 网 域内 )， 所 以 ， 赶 紧 检 查 一 下 是 否 输入 错误 啊 ! 





Tips: 一 般 来 说 ， 鸟 哥 如 果 接 触 到 一 个 新 的 环境 内 的 主机 ， 在 不 想 要 更 动 原 系 统 的 配置 文件 情 
况 下 ， 然 后 预计 使 用 本 书 的 网 络 环境 设 定时 ， 手 动 的 处 理 就 变 成 : [ifconfig eth0 
192.168.1.100; route add default gw 192.168.1.2544 这 样 就 搞定 了 |! 直接 联网 与 测试 。 等 
到 完成 测试 后 ， 再 给 她 /etc/init.d/network restart 恢复 原 系 统 的 网 络 即 可 。 





5.1.3 网 络 参数 综合 指令 : ip 


ip 是 个 指令 喔 ! 并 不 是 那个 TCP/IP 的 IP 啦 1 这 个 ip 指令 的 功能 可 多 了 |! 基本 上 ， 他 就 是 整 
合 了 ifconfig 与 route 这 两 个 指令 哆 习 不过，ip 可 以 达成 的 功能 却 又 多 更 多 ! 真是 个 相当 厉害 
的 指令 。 如 果 你 有 兴趣 的 话 ， 请 自行 vi /sbin/ifup ， 就 知道 整个 ifup 就 是 利用 ip 这 个 指令 来 
达成 的 。 好 了 ， 如 何 使 用 呢 ? 让 我 们 来 瞧 一 瞧 先 ! 


[root@www ~]# ip [option] [动作 ] [指令 ] 
选项 与 参数 : 
option : 设 定 的 参数 ， 主 要 有 : 
-S : 显示 出 该 装置 的 统计 数据 (statistics)， 例 如 总 接受 封包 数 等 ; 
动作 : 亦 即 是 可 以 针对 哪些 网 络 参 数 进 行动 作 ， 包 括 有 : 
link ”: 关于 装置 (device) 的 相关 设 定 ， 包 括 MTU，MAC 地 址 等 等 
addr/address : 关于 额外 的 IP 协议 ， 例 如 多 IP 的 达成 等 等 ; 
route : 与 路 由 有 关 的 相关 设 定 


由 上 面 的 语法 我 们 可 以 知道 ，ip 除了 可 以 设 定 一 些 基 本 的 网 络 参数 之 外 ， 还 能 够 进行 额外 的 
IP 协议 ， 包 括 多 IP 的 达成 ， 扶 是 太 完 美 了 ! 底下 我 们 就 分 三 个 部 分 (link, addr route) 来 介绍 
这 个 ip 指令 吧 ! 


e 关于 装置 接口 (device) 的 相关 设 定 : ip link 


ip link 可 以 设 定 与 装置 (device) 有 关 的 相关 参数 ， 包 括 MTU 以 及 该 网 络 接口 的 MAC 等 等 ， 
当然 也 可 以 启动 (up) 或 关闭 (down) 某 个 网 络 接 口 啦 ! 整个 语法 是 这 样 的 : 


[root@www ~]# ip [-s] link show &lt;== 单纯 的 查阅 该 装置 相关 的 信息 

[root@www ~]# ip link set [device] [动作 与 参数 ] 

选项 与 参数 : 

Show : 仅 显示 出 这 个 装置 的 相关 内 容 ， 如 果 加 上 -Ss 会 显示 更 多 统计 数据 ; 

set : 可 以 开始 设 定 项 目 ， device 指 的 是 eth9，eth1 等 等 界面 代号 ; 

动作 与 参数 : 包括 有 底下 的 这 些 动 作 : 
Up&#124;down ”: 启动 (up) 或 关闭 (down) 某 个 接口 ， 其 他 参数 使 用 默认 的 以 太 网 络 ; 
address  : 如 果 这 个 装置 可 以 更 改 MAC 的 话 ， 用 这 个 参数 修改 | 


name : 给 予 这 个 装置 一 个 特殊 的 名 字 ; 
mtu : 就 是 最 大 传输 单元 啊 ! 


# 范例 一 : 显示 出 所 有 的 接口 信息 
[root@www ~]# ip link show 
1: lo: &]lt;LOOPBACK, UP,LOWER UP&gt; mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
2: eth0: &lt;BROADCAST,MULTICAST, UP, LOWER UP&gt; mtu 1500 qdisc pfifo fast state UP qlen 
link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 
3: eth1: &lt;BROADCAST,MULTICAST&gt; mtu 1500 qdisc noop state DOWN qlen 1000 
link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 
4: Sit0: &lt;NOARP&gt; mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 


[root@www ~]# ip -s link show etho 

2: eth0: &lt;BROADCAST,MULTICAST, UP, LOWER UP&gt; mtu 1500 qdisc pfifo fast state UP qlen 
link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 
RX: bytes packets errors dropped overrun mcast 


314685 3354 0 0 0 0 
TX: bytes packets errors dropped carrier collsns 
27200 199 0 0 0 0 


-| 





使 用 ip link show 可 以 显示 出 整个 装置 接口 的 硬件 相关 信息 ， 如 上 所 示 ， 包 括 网 卡 地 址 
(MAC)、MTU 等 等 ， 比较 有 趣 的 应 该 是 那个 sit0 的 接口 了 ， 那 个 sit0 的 界面 是 用 在 IPv4 及 
IPv6 的 封包 转换 上 的 ， 对 于 我 们 仅 使 用 IPv4 的 网 络 是 没有 作用 的 。lo 及 sit0 都 是 主机 内 部 
所 自行 设 定 的 。 而 如 果 加 上 -s 的 参数 后 ， 则 这 个 网 络 卡 的 相关 统计 信息 就 会 被 列 出 来 ， 包 
括 接收 (RX) 及 传送 (TX) 的 封包 数量 等 等 ， 详 细 的 内 容 与 ifconfig 所 输出 的 结果 相同 的 。 


# 范例 二 : 启动 、 关 闭 与 设 定 装置 的 相关 信息 
[root@www ~]# ip link set etho up 
# 启动 eth9 这 个 装置 接口 ; 


[root@www ~]# ip link set etho down 
# 阿 就 关闭 啊 ! 简单 的 要 命 ~ 


[root@www ~]# ip link set etho mtu 1000 
# 更 改 MTU 的 值 ， 达 到 1000 bytes， 单 位 就 是 bytes 啊 ! 


更 新 网 络 卡 的 MTU 使 用 ifconfig 也 可 以 达成 啊 ! 没 啥 了 不 起 ， 不 过 ， 如 果 是 要 更 改 『 网 络 卡 
代号 、MAC 地 址 的 信息 1 的 话 ， 那 可 就 得 使 用 ip 哆 一 不 过 ， 设 定 前 可 能 得 要 先 关闭 该 网 络 
卡 ， 和 否则 会 不 成 功 。 如 下 所 示 : 


# 范例 三 : 修改 网 络 卡 代号 、MAC 等 参数 

[root@www ~]# ip link set etho name vbird 
SIOCSIFNAME: Device or resource busy 

# 因为 该 装置 目前 是 启动 的 ， 所 以 不 能 这 样 做 设 定 。 你 应 该 要 这 样 做 : 





[root@www ~]# ip link set etho down &1t ;== 关 闭 界 面 
[root@www ~]# ip link set ethg name vbird &lt;== 重 新 设 定 
[root@www ~]# ip link show &1t ;== 观 从 一 下 


2: vbird: &lt;BROADCAST,MULTICAST, UP,LOWER UP&gt; mtu 1500 qdisc pfifo fast state UP qlen 
link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

# 怕 了 吧 ! 连 网 络 卡 代号 都 可 以 改变 ! 不 过 ， 玩 玩 后 记得 改 回来 啊 ! 

# 因为 我 们 的 ifcfg-ethg 还 是 使 用 原本 的 装置 代号 | 避免 有 问题 ， 要 改 回来 


[root@www ~]# ip link set vbird name eth9 &1lt;== 有 界面 改 回来 
[root@www ~]# ip link set etho address aa:aa:aa:aa:aa:aa 
[root@www ~]# ip link show etho 

# 如 果 你 的 网 络 卡 支持 硬件 地 址 (MAC ) 可 以 更 改 的 话 ， 上 面 这 个 动作 就 可 以 更 改 

# 你 的 网 络 卡 地 址 了 ! 厉害 吧 | 不 过 ， 还 是 那 句 老话， 测试 完 之 后 请 立刻 改 回 来 啊 ! 


和 Eee sl 





在 这 个 装置 的 硬件 相关 信息 设 定 上 面 ， 包 括 MTU, MAC 以 及 传输 的 模式 等 等 ， 都 可 以 在 这 里 
设 定 。 有 趣 的 是 那个 address 的 项 目 ， 那 个 项 目 后 面 接 的 可 是 硬件 地 址 (MAC) 而 不 是 IP 
喔 ! 很 容易 摘 错 啊 | 切记 切记 |! 更 多 的 硬件 参数 可 以 使 用 man ip 查阅 一 下 与 ip link 有 关 的 


设 定 。 
。 关于 额外 的 IP 相关 设 定 : ip address 


如 果 说 ip link 是 与 OSI 七 层 协定 的 第 二 层 资料 连 阶 层 有 关 的 话 ， 那 么 ip address (ip addr) 就 
是 与 第 三 层 网 络 层 有 关 的 参数 啦 | 主要 是 在 设 定 与 IP 有 关 的 各 项 参数 ， 包 括 netmask， 
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broadcast 寺村“。 


[root@www ~]# ip address show  &lt;== 就 是 查阅 IP 参数 啊 ! 
[root@www ~]# ip address [add&#124;del] [IP 参 数 ] [dev 装置 名 ] [相关 参数 ] 
选项 与 参数 : 
show : 单纯 的 显示 出 接口 的 IP 信息 啊 ; 
add&#124;del : 进行 相关 参数 的 增加 (add) 或 删除 (del) 设 定 ， 主 要 有 : 

IP 参数 : 主要 就 是 网 域 的 设 定 ， 例 如 192.168.100.100/24 之 类 的 设 定 喔 ; 

dev : 这 个 IP 参数 所 要 设 定 的 接口 ， 例 如 ethg，eth1l 等 等 ; 

相关 参数 : 主要 有 底下 这 些 : 

broadcast : 设 定 广播 地 址 ， 如 果 设 定 值 是 + 表示 『 让 系统 自动 计算 4 


label : 亦 即 是 这 个 装置 的 别名 ， 例 如 eth0:0 就 是 了 ! 
scope : 这 个 界面 的 领域 ， 通 常 是 这 几 个 大 类 : 


global : 允许 来 自 所 有 来 源 的 联机 ; 

Site : 仅 支 持 IPV6 ， 仅 允许 本 主机 的 联机 ; 
link : 仅 允许 本 装置 自我 联机 ; 

host : 仅 允许 本 主机 内 部 的 联机 ; 

所 以 当然 是 使 用 global 哆 ! 预 设 也 是 global 啦 1 


# 范例 一 : 显示 出 所 有 的 接口 之 IP 参数 : 
[root@www ~]# ip address show 
1: lo: &]lt;LOOPBACK, UP,LOWER UP&gt; mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
Inet6 ::1/128 scope host 
valid_]lft forever preferred lft forever 
2: eth0: &lt;BROADCAST,MULTICAST, UP, LOWER UP&gt; mtu 1500 qdisc pfifo fast state UP qlen 
link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 
inet 192.168.1.100/24 brd 192.168.1.255 scope global etho 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 
Valid_ lft forever preferred lft forever 
3: eth1: &lt;BROADCAST,MULTICAST&gt; mtu 1500 qdisc noop state DOWN qlen 1000 
link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 
4: Sit0: &lt;NOARP&gt; mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 


了 





看 到 上 面 那个 特殊 的 字体 吗 ? 没 错 ! 那 就 是 IP 参数 啦 ! 也 是 ip address 最 主要 的 功能 。 底 下 
我 们 进一步 来 新 增 虚 拟 的 网 络 介面 试看 看 : 


# 范例 二 : 新 增 一 个 接口 ， 名 称 假设 为 ethg:vbird 
[root@www ~]# ip address add 192.168.50.50/24 broadcast + \ 
&gt; dev etho label etho:vbird 
[root@www ~]# ip address show etho 
2: eth0: &lt;BROADCAST,MULTICAST, UP, LOWER_ UP&gt; mtu 1500 qdisc pfifo_fast state UP qlen 
link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 
inet 192.168.1.100/24 brd 192.168.1.255 scope global etho 
inet 192.168.50.50/24 brd 192.168.50.255 scope global etho:vbird 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 
valid_]lft forever preferred lft forever 
# 看 到 上 面 的 特殊 字体 了 吧 ? 多 出 了 一 行 新 的 接口 ， 且 名 称 是 ethg:vbird 
# 至 于 那个 broadcast + 也 可 以 写成 broadcast 192.168.50.255 啦 1 


[root@www ~]# ifconfig 

etho:vbird Link encap:Ethernet Hwaddr 08:00:27:71:85:BD 
inet addr:192.168.50.50 Bcast:192.168.50.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

# 如 果 使 用 ifconfig 就 能 够 看 到 这 个 怪 东 西 了 ! 可 爱 吧 ! 人 ^ 


# 范例 三 : 将 刚刚 的 界面 删除 
[root@www ~]# ip address del 192.168.50.50/24 dev etho 
# 删除 就 比较 简单 啊 ! 人 ^ 


“| i 








e 关于 路 由 的 相关 设 定 : ip route 


这 个 项 目 当然 就 是 路 由 的 观察 与 设 定 嘿 ! 事实 上 ，ip route 的 功能 几乎 与 route 这 个 指令 差 不 
多 ， 但 是 ， 他 还 可 以 进行 额外 的 参数 设计 ， 例 如 MTU 的 规划 等 等 ， 相 当 的 强悍 啊 ! 


[root@www ~]# ip route show &lt;== 单 纯 的 显示 出 路 由 的 设 定 而 已 
[root@www ~]# ip route [add&#124;del] [IP 或 网 域 ] [via gateway] [dev 装置 ] 
选项 与 参数 : 
Show : 单纯 的 显示 出 路 由 表 ， 也 可 以 使 用 List ; 
add&#124;del :增加 (add) 或 删除 (del) 路 由 的 意思 。 
IP 或 网 域 : 可 使 用 192.168.50.0/24 之 类 的 网 域 或 者 是 单纯 的 IP ; 


via : 从 那个 gateway 出 去 ， 不 一 定 需要 ; 
dev : 由 那个 装置 连 出 去 ， 这 就 需要 了 | 
mtu : 可 以 额外 的 设 定 MTU 的 数值 弓 ! 


# 范例 一 : 显示 出 目前 的 路 由 资料 

[root@www ~]# ip route show 

192.168.1.0/24 dev etho0 proto kernel scope link src 192.168.1.100 
169.254.0.0/16 dev eth0 scope link metric 1002 

default via 192.168.1.254 dev etho0 


如 上 表 所 示 ， 最 简单 的 功能 就 是 显示 出 目前 的 路 由 信息 ， 其 实 跟 route 这 个 指令 相同 啦 ! 指 
示 必 须要 注意 几 个 小 东西 : 


e。 proto : 此 路 由 的 路 由 协议 ， 主 要 有 redirect, kernel, boot, static, ra 等 ， 其 中 kernel 指 的 
是 直接 由 核心 判断 自动 设 定 。 
。 scope : 路 由 的 范围 ， 主 要 是 link ， 亦 即 是 与 本 装置 有 关 的 直接 联机 。 


再 来 看 一 下 如 何 进 行路 由 的 增加 与 删除 吧 ! 


# 范例 二 : 增加 路 由 ， 主 要 是 本 机 直接 可 沟通 的 网 域 

[root@www ~]# ip route add 192.168.5.0/24 dev etho 
# 针对 本 机 直接 沟通 的 网 域 设 定好 路 由 ， 不 需要 透 过 外 部 的 路 由 器 
[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 
0 


# 范例 三 : 增加 可 以 通 往外 部 的 路 由 ， 需 透 过 router 喔 ! 

[root@www ~]# ip route add 192.168.10.0/24 via 192.168.5.100 dev eth0 
[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 

,.. . (其 他 省 略 ) ,..,. 

192.168.10.0/24 via 192.168.5.100 dev etho 

# 仔细 看 喔 ， 因 为 我 有 192.168.5.0/24 的 路 由 存在 (我 的 网 卡 直接 联系 )， 

# 所 以 才 可 以 将 192.168.10.0/24 的 路 由 丢 给 192.168.5.100 

# 那 部 主机 来 帮忙 传递 喔 ! 与 之 前 提 到 的 route 指令 是 一 样 的 限制 ! 

# 范例 四 : 增加 预 设 路 由 

[root@www ~]# ip route add default via 192.168.1.254 dev ethg 
# 那个 192.168.1.254 就 是 我 的 预 设 路 由 器 (gateway) 的 意思 啊 1 人 人 人 
# 莫 的 记得 ， 只 要 一 个 预 设 路 由 就 OK ! 

# 范例 五 : 删除 路 由 

[root@www ~]# ip route del 192.168.10.0/24 

[root@www ~]# ip route del 192.168.5.0/24 


事实 上 ， 这 个 ip 的 指令 实在 是 太 博 大 精深 了 ! 刚 接触 Linux 网 络 的 朋友 ， 可 能 会 看 到 有 点 雷 
人 不要紧 啦 ! 你 先 会 使 用 ifconfig, ifup , ifdown 与 route 即 可 ， 等 以 后 有 经 验 了 之 后 ， 再 继 
续 回来 玩 ip 这 个 好 玩 的 指令 吧 ! ^ ^ 有 兴趣 的 话 ， 也 可 以 自行 参考 ethtool 这 个 指令 喔 ! 
(man ethtool)。 


5.1.4 无 线 网 络 : iwlist, iwconfig 
这 两 个 指令 你 必须 要 有 无 线 网 卡 才能 够 进行 喔 ! 这 两 个 指令 的 用 途 是 这 样 的 : 


。 iwlist : 利用 无 线 网 卡 进行 无 线 AP 的 侦 测 与 取得 相关 的 数据 ; 

。 iwconfig : 设 定 无 线 网 卡 的 相关 参数 。 
这 两 个 指令 的 应 用 我 们 在 第 四 章 里 面 的 无 线 网 卡 设 定 谈 了 很 多 了 ， 所 以 这 里 我 们 不 再 详 谈 ， 
有 兴趣 的 朋友 应 该 先 使 用 man iwlist 与 man iwconfig 了 解 一 下 语法 ， 然 后 再 到 前 一 章 的 无 线 
网 络 小 节 查 一 查 相关 的 用 法 ， 就 了 解 了 啦 ! A ^ 


5.1.5 手动 使 用 DHCP 自动 取得 IP 参数 : dhclient 


如 果 你 是 使 用 DHCP 协议 在 局 域 网 络 内 取得 IP 的话， 那么 是 否 一 定 要 去 编辑 ifcfg-eth0 内 的 
BOOTPROTO 呢 ? 嘿嘿 ! 有 个 更 快速 的 作法 ， 那 就 是 利用 dhclient 这 个 指令 一 因为 这 个 指令 
才 是 趴 正 发 送 dhcp 要 求 工 作 的 程序 啊 | 那 要 如 何 使 用 呢 ? 很 简单 ! 如 果 不 考 虑 其 他 的 参数 ， 
使 用 底下 的 方法 即 可 : 


[root@www ~]# dhclient etho 


够 简单 吧 ! 这 样 就 可 以 立刻 叫 我 们 的 网 络 卡 以 dhcp 协议 去 尝试 取得 IP 喔 ! 


5.2 网 络 侦 错 与 观察 指令 


在 网 络 的 互助 论坛 中 ， 最 常 听 到 的 一 句 话 就 是 : et 

了 1 J 我 的 天 呐 ! 不 能 上 网 络 的 原因 多 的 很 ! 而 要 完全 摘 懂 也 不 是 一 件 简单 的 事情 呢 ! 不 
A a 
在 Linux 里 头 已 经 都 预 设 存在 了 ， 只 要 你 好 好 的 学 一 学 基本 的 侦 测 指令 ， 那 么 一 些 朋 友 在 告 
诉 你 如 何人 饥 错 的 时 候 ， 你 应 该 就 立刻 可 以 知道 如 何 来 搞定 他 嘿 1 


其 实 我 们 在 第 四 章 谈 到 的 五 个 检查 步骤 已 经 是 相当 详细 的 网 络 侦 错 流程 了 ! 只 是 还 有 些 重要 
的 侦 测 指令 也 得 要 来 了 解 一 下 才 好 ! 


5.2.1 两 部 主机 两 点 沟通 : ping 


个 ping 是 很 重要 的 指令 ，ping 主要 透 过 ICMP 封包 来 进行 整个 网 络 的 状况 报告 ， 当 然 啦 ， 
na 文 两 个 类 型 ， 分 别 是 So ea 否 存 
在 的 特性 。 要 特别 注意 的 是 ，ping 还 是 需要 透 过 IP 封包 来 传送 ICMP 封包 的 ， 而 IP 封包 里 
a ee 
参考 第 二 章 网 络 基 础 的 详细 介绍 。 


[root@www ~]# ping [选项 与 参数 ] IP 


选项 与 参数 : 
-C 数值 : 后 面 接 的 是 执行 ping 的 次 数 ， 例 如 -C 5 ; 
-n : 在 输出 数据 时 不 进行 IP 与 主机 名 的 反 查 ， 直 接 使 用 IP 输出 (速度 较 快 ) ; 


-S 数值 : 发 送出 去 的 ICMP 封包 大 小 ， 预 设 为 56bytes， 不 过 你 可 以 放大 此 一 数值 ; 
-t 数值 : TTL 的 数值 ， 预 设 是 255， 每 经 过 一 个 节点 就 会 少 一 ; 
-W 数值 : 等 待 响应 对 方 主机 的 秒 数 。 
-M [do&#124;dont] : 主要 在 侦 测 网 络 的 MTU 数值 大 小 ， 两 个 常见 的 项 目 是 : 
do ”: 代表 传送 一 个 DF (Don't Fragment) 旗 标 ， 让 封包 不 能 重新 拆 包 与 打包 ; 
dont : 代表 不 要 传送 DF 旗 标 ， 表 示 封 包 可 以 在 其 他 主机 上 拆 包 与 打包 


# 范例 一 : 侦 测 一 下 168.95.1.1 这 部 DNS 主机 是 否 存在 ? 

[root@www ~]# ping -c 3 168.95.1.1 

PING 168.95.1.1 (168.95.1.1) 56(84) bytes of data. 

64 bytes from 168.95.1.1: icmp_seq=1 tt1l=245 time=15.4 ms 
64 bytes from 168.95.1.1: icmp_seq=2 ttl1=245 time=10.0 ms 
64 bytes from 168.95.1.1: icmp_seq=3 ttl1=245 time=10.2 ms 


--- 168.95.1.1 ping statistics --- 


3 packets transmitted, 3 received, 0% packet loss, time 2047ms 
rtt min/avg/max/mdev = 10.056/11.910/15.453/2.506 ms 


ping 最 简单 的 功能 就 是 传送 ICMP 封包 去 要 求 对 方 主机 回应 是 否 存在 于 网 络 环境 中 ， 上 面 的 
响应 消息 当中 ， 几 个 重要 的 项 目 是 这 样 的 : 


。 64 bytes : 表示 这 次 传送 的 ICMP 封包 大 小 为 64 bytes 这 么 大 ， 这 是 默认 值 ， 在 某 些 特 
珠 场合 中 ， 例 如 要 搜索 整个 网 络 内 最 大 的 MTU 时 ， 可 以 使 用 -s 2000 之 类 的 数值 来 取 
代 ; 


。 icmp_seq=1 : ICMP 所 侦 测 进行 的 次 数 ， 第 一 次 编号 为 1 ; 


。t=243 : TTL 与 IP 封包 内 的 TTL 是 相同 的 ， 每 经 过 一 个 带 有 MAC 的 节点 (node) 时 ， 
例如 router bridge 时 ，TTL 就 会 减少 一 ， 预 设 的 TTL 为 255 ， 你 可 以 透 过 -t 150 之 类 
的 方法 来 重新 设 定 预 设 TTL 数值 ; 


e time=15.4 ms : 响应 时 间 ， 单 位 有 ms(0.001 秒 ) 及 us(0.000001 秒 ) ， 一 般 来 说 ， 越 小 的 
响应 时 间 ， 表 示 两 部 主机 之 间 的 网 络 联机 越 良 好 ! 


如 果 你 忘记 加 上 -Cc 3 这 样 的 规定 侦 测 次 数 ， 那 就 得 要 使 用 [ctrl]-c 将 他 结束 掉 了 ! 


例题 : 写 一 支 脚本 程序 ping.sh ， 透 过 这 支 脚本 程序 ， 你 可 以 用 ping 侦 测 整个 网 域 的 主机 是 

和 否 有 响应 。 此 外 ， 每 部 主机 的 侦 测 仅 等 待 一 秒 钟 ， 也 仅 侦 测 一 次 。 答 : 由 于 仅 侦 测 一 次 且 等 

待 一 秒 ， 因 此 ping 的 选项 为 : -W1 -c1， 而 位 于 本 机 所 在 的 区 网 为 192.168.1.0/24 ， 所 以 可 
以 这 样 写 (vim /root/bin/ping.sh) : 


#!/bin/bash 
for siteip in $(seq 1 254) 
do 
site="192.168.1.${siteip}" 
ping -ci -wi ${site} &&gt; /dev/null 
If [ "$?"” == "0" ]; then 
echo "$site is UP" 
else 
echo "$site is DOWN" 
fi 
done 


特别 注意 一 下 ， 如 果 你 的 主机 与 待 侦 测 主 机 并 不 在 同一 个 网 域内 ， 那 么 TTL 预 设 使 用 255 ， 
如 果 是 同一 个 网 域内 ， 那 么 TTL 预 设 则 使 用 64 喔 ! 


。 用 ping 追踪 路 径 中 的 最 大 MTU 数值 


我 们 由 第 二 章 的 网 络 基础 里 面谈 到 加 大 讯 框 (frame) 时 ， 对 于 网 络 效能 是 有 帮助 的 ， 因 
为 封包 打包 的 次 数 会 减少 ， 加 上 如 果 整 个 传输 的 媒体 都 能 够 接受 这 个 frame 而 不 需要 重 
新 进行 封包 的 拆 解 与 重组 的 话 ， 那 么 效能 当然 会 更 好 ， 那 个 修改 frame 大 小 的 参数 就 是 
MTU 啦 1! 


好 了 ， 现 在 我 们 知道 网 络 卡 的 MTU 修改 可 以 透 过 ifconfig 或 者 是 ip 等 指令 来 达成 ， 那 么 
追踪 整个 网 络 传输 的 最 大 MTU 时 ， 又 该 如 何 查询 ?呵呵 ! 最 简单 的 方法 当然 是 透 过 ping 
传送 一 个 大 封包 ， 并 且 不 许 中 继 的 路 由 器 或 switch 将 该 封包 重组 ， 那 就 能 够 处 理 啦 ! 没 
错 1 可 以 这 样 的 : 


# 范例 二 : 找 出 最 大 的 MTU 数值 

[root@www ~]# ping -c 2 -s 1000 -M do 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 1000(1028) bytes of data. 
1008 bytes from 192.168.1.254: icmp_seq=1 ttl1=64 time=0.311 ms 
# 如 果 有 响应 ， 那 就 是 可 以 接受 这 个 封包 ， 如 果 无 响应 ， 那 就 表示 这 个 MTU 太 大 了 。 


[root@www ~]# ping -c 2 -s 8000 -M do 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 8000(8028) bytes of data. 

From 192.168.1.100 icmp_seq=1 Frag needed and DF set (mtu = 1500) 

# 这 个 错误 讯息 是 说 ， 本 地 端的 MTU 才 到 1500 而 已 ， 你 要 侦 测 8909 的 MTU 

# 根本 就 是 无 法 达成 的 ! 那 要 如 何 是 好 ?用 前 一 小 节 介绍 的 ip 1Link 来 进行 MTU 设 定 吧 ! 


不 过 ， 你 需要 知道 的 是 ， 由 于 IP 封包 表 头 (不 含 options) 就 已 经 占用 了 20 bytes ， 再 加 
上 ICMP 的 表 头 有 8 bytes ， 所 以 当然 你 在 使 用 -s size 的 时 候 ， 那 个 封包 的 大 小 就 得 要 
先 扣除 (20+8=28) 的 大 小 了 。 因此 如 果 要 使 用 MTU 为 1500 时 ， 就 得 要 下 达 『 ping -s 
1472 -M do xx.yy.zz.ip 4 才 行 啊 ! 


另外 ， 由 于 本 地 端的 网 络 卡 MTU 也 会 影响 到 侦 测 ， 所 以 如 果 想 要 侦 测 整个 传输 媒体 的 
MTU 数值 ， 那 么 每 个 可 以 调整 的 主机 就 得 要 先 使 用 ifcofig 或 ip 先 将 MTU 调 大 ， 然 后 再 
去 进行 侦 测 ， 否则 就 会 出 现 像 上 面 提供 的 案例 一 样 ， 可 能 会 出 现 错误 讯息 的 1 


不 过 这 个 MTU 不 要 随便 调整 啊 ! 除非 丨 的 有 问题 。 通 常 调整 MTU 的 时 间 是 在 这 个 时 
候 : 


o 因为 全 部 的 主机 群 都 是 在 内 部 的 区 网 ， 例 如 从 集 架 构 (cluster) 的 环境 下 ， 由 于 内 部 
的 网 络 节点 都 是 我 们 可 以 控制 的 ， 因 此 可 以 透 过 修改 MTU 来 增进 网 络 效能 ; 

o 因为 操作 系统 默认 的 MTU 与 你 的 网 域 不 符 ， 导 致 菜 些 网 站 可 以 顺利 联机 ， 某 些 网 站 
则 无 法 联机 。 以 Windows 操作 系统 作为 联机 分 享 的 主机 时 ， 在 Client 端 挺 容易 发 
生 这 个 问题 ; 如 果 是 要 连 上 Internet 的 主机 ， 注 意 不 要 随便 调整 MTU ， 因 为 我 们 
无 法 知道 Internet 上 面 的 每 部 机 器 能 够 支持 的 MTU 到 多 大 ， 因 为 ..…. 不 是 我 们 能 够 
管 的 到 的 嘛 人 人 ! 另外 ， 其 实 每 种 联机 方式 都 有 不 同 的 MTU 值 ， 常 见 的 各 种 接口 的 
MTU 值 分 别 为 : 


网 络 接口 | MTU | 


PPPOE | 1492 | 


| 

| 

| Ethernet | 1500 | 

| 

| Dial-up(Modem) | 576 | 


5.2.2 两 主机 间 各 节点 分 析 : traceroute 


我 们 前 面谈 到 的 指令 大 多 数 都 是 针对 主机 的 网 络 参数 设 定 所 需要 的 ， 而 ping 是 两 部 主机 之 间 
的 回声 与 否 判断 ， 那 么 有 没有 指令 可 以 追踪 两 部 主机 之 间 通 过 的 各 个 节点 (node) 通讯 状况 的 
好 坏 呢 ? 举例 来 说 ， 如 果 我 们 联机 到 yahoo 的 速度 比 平常 慢 ， 你 觉得 是 (1) 自 己 的 网 络 环境 有 
问题 ? (2) 还 是 外 部 的 Internet 有 问题 ? 如 果 是 (1) 的 话 ， 我 们 当然 需要 检查 自己 的 网 络 环境 


啊 ， 看 看 是 否 又 有 谁 中 毒 了 ? 但 如 果 是 Internet 的 问题 呢 ? 那 只 有 『 等 等 等 啊 ! 判断 是 (1) 
还 是 (2) 就 得 要 使 用 traceroute 这 个 指令 啦 ! 


[root@www ~]# traceroute [选项 与 参数 ] IP 
选项 与 参数 : 
-n : 可 以 不 必 进 行 主机 的 名 称 解析 ， 单 纯 用 IP ， 速 度 较 快 ! 
-U :使 用 UDP 的 port 33434 来 进行 侦 测 ， 这 是 预 设 的 侦 测 协议 ; 
-I :使 用 ICMP 的 方式 来 进行 侦 测 ; 
-T : 使 用 TCP 来 进行 侦 测 ， 一 般 使 用 port 89 测试 
-W : 若 对 方 主机 在 几 秒 钟 内 没有 回声 就 宣告 不 治 .. . 预 设 是 5 秒 
-p 堆 号 : 训 若 不 想 使 用 UDP 与 TCP 的 预 设 埠 号 来 侦 测 ， 可 在 此 改变 埠 号 。 
-i 装置 : 用 在 比较 复杂 的 环境 ， 如 果 你 的 网 络 接口 很 多 很 复杂 时 ， 才 会 用 到 这 个 参数 ; 
举例 来 说 ， 你 有 两 条 ADSL 可 以 连接 到 外 部 ， 那 你 的 主机 会 有 两 个 ppp， 
你 可 以 使 用 -i 来 选择 是 pppg 还 是 ppp1 叭 ! 
-g 路 由 :与 -i 的 参数 相仿 ， 只 是 -g 后 面 接 的 是 gateway 的 IP 就 是 了 。 
# 范例 一 : 侦 测 本 机 到 yahoo 去 的 各 节点 联机 状态 
[root@www ~]# traceroute -n tw.yahoo.com 
traceroute to tw.yahoo.com (119.160.246.241), 30 hops max, 40 byte packets 
1 192.168.1.254 0.279 ms 0.156 ms 0.169 ms 
2 172.20.168.254 0.430 ms 0.513 ms 0.409 ms 
3 10.40.1.1 0.996 ms 0.890 ms 1.042 ms 
4 203.72.191.85 0.942 ms 0.969 ms 0.951 ms 
5 211.20.206.58 1.360 ms 1.379 ms 1.355 ms 
6 203.75.72.90 1.123 ms 0.988 ms 1.086 ms 
7 220.128.24.22 11.238 ms 11.179 ms 11.128 ms 
8 220.128.1.82 12.456 ms 12.327 ms 12.221 ms 
9 220.128.3.149 8.062 ms 8.058 ms 7.990 ms 
10 
el! 
12 


-2 


119.160.240.1 10.688 ms 10.590 ms 119.160.240.3 10.047 ms 
* * * 人 It;== 可 能 有 防火 墙 装置 等 情况 发 生 所 致 


这 个 traceroute 插 有 意思 的 ， 这 个 指令 会 针对 欲 连接 的 目的 地 之 所 有 node 进行 UDP 的 逾 时 
等 待 ， 例 如 上 面 的 例子 当中 ， 由 鸟 哥 的 主机 连接 到 Yahoo 时 ， 他 会 经 过 12 个 节点 以 上 ， 
traceroute 会 主动 的 对 这 12 个 节点 做 UDP 的 回声 等 待 ， 并 侦 测 回复 的 时 间 ， 每 节点 侦 测 三 
次 ， 最 终 回 传 像 上 头 显示 的 结果 。 你 可 以 发 现 每 个 节点 其 实 回复 的 时 间 大 约 在 50 ms 以 内 ， 
算是 还 可 以 的 Internet 环境 了 。 


比较 特殊 的 算是 第 10/12 个 ， 会 回 传 星 号 的 ， 代 表 该 node 可 能 设 有 某 些 防护 措施 ， 让 我 们 发 
送 的 封包 信息 被 丢弃 所 致 。 因为 我 们 是 直接 透 过 路 由 器 转 递 封包 ， 并 没有 进入 路 由 器 去 取得 
路 由 器 的 使 用 资源 ， 所 以 某 些 路 由 器 仅 支 持 封包 转 递 ， 并 不 会 接受 来 自 客 户 端的 各 项 侦 测 

啦 | 此 时 就 会 出 现 上 述 的 问题 。 因 为 traceroute 预 设 使 用 UDP 封包 ， 如 果 你 想 尝 试 使 用 其 他 
封包 ， 那 么 -| 或 -T 可 以 试看 看 哆 1 


由 于 目前 UDP/ICMP 的 攻击 层出不穷 ， 因 此 很 多 路 由 器 可 es 两 个 封包 的 响应 功 
能 。 所 以 我 们 可 以 使 用 TCP 来 侦 测 哆 ! 例如 使 用 0 ， 透 过 等 待 时 间 1 秒 ， 以 及 
TCP 80 境 口 的 情况 下 ， 可 以 这 样 做 : 


[root@www ~]# traceroute -w 1 -n -T tw.yahoo.com 


5.2.3 察看 本 机 的 网 络 联 机 与 后 门 : netstat 


如 果 你 觉得 你 的 某 个 网 络 服务 明明 就 启动 了 ， 但 是 就 是 无 法 造成 联机 的 话 ， 那 么 应 该 怎么 
办 ? 首先 你 应 该 要 查询 一 下 自己 的 网 络 接口 所 监听 的 端口 (port) 来 看 看 是 否 丨 的 有 启动 ， 医 
为 有 时 候 屏幕 上 面 显示 的 [OK] 并 不 一 定 是 OK 啊 1 ^ 人 和 ^ 


到 


[root@www ~]# netstat -[rn] &Lt ;== 与 路 由 有 关 的 参数 
[root@www ~]# netstat -[antulpc] &1lt;== 与 网 络 接口 有 关 的 参数 
选项 与 参数 : 


与 路 由 (route) 有 关 的 参数 说 明 : 

-rr  : 列 出 路 由 表 (route table)， 功 能 如 同 route 这 个 指令 ; 

-n :不 使 用 主机 名 与 服务 名 称 ， 使 用 IP 与 port number ， 如 同 route -n 
与 网 络 接口 有 关 的 参数 : 

-a : 列 出 所 有 的 联机 状态 ， 包 括 tcp/udp/unix socket 等 ; 

-t : 仅 列 出 TCP 封包 的 联机 ; 

-U : 仅 列 出 UDP 封包 的 联机 ; 

-1 : 仅 列 出 有 在 Listen (监听 ) 的 服务 之 网 络 状态 ; 

-p : 列 出 PID 与 Program 的 档 名 ; 

-C :可 以 设 定 几 秒 钟 后 自动 更 新 一 次 ， 例 如 -C 5 每 五 秒 更 新 一 次 网 络 状 态 的 显示 ; 


# 范例 一 : 列 出 目前 的 路 由 表 状 态 ， 且 以 IP 及 port number 显示 : 
[root@www ~]# netstat -rn 
Kernel IP routing table 


Destination Gateway Genmask Flags MSS Window irtt Iface 
192.168.1.0 0.0.0.0 255.255.255.0 U 9 0 © etho 
169.254.0.0 0.0.0.0 2oo5c2550R0 U 9 0 © etho 
0.0.0.0 192.168.1.254 0.0.0.0 UG 9 0 © etho 
# 其 实 这 个 参数 就 跟 route -n 一 模 一 样 ， 对 吧 ! 这 不 是 netstat 的 主要 功能 啦 ! 
# 范例 二 : 列 出 目前 的 所 有 网 络 联机 状态 ， 使 用 IP 与 port number 
[root@www ~]# netstat -an 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 

(网 省 格 )J 5 
tcp 0 © 127.0.0.1:25 0.0.0.0:* LISTEN 
tcp 5 52 192.168.1.100:22 192.168.1.101:1937 ESTABLISHED 
tcp O22 pe LISTEN 

a 

Active UNIX domain sockets (servers and established) 
Proto RefCnt Flags Type State I-Node Path 
unix 2 [ ACC ] STREAM LISTENING 11075 @/var/run/hald/dbus-uukdgiqMPh 
unix 2 [ ACC ] STREAM LISTENING 10952 /var/run/dbus/system_ bus_socket 
unix 2 [ ACC ] STREAM LISTENING 11032 /var/run/acpid.socket 

. . (底下 省 略 ),... 


netstat 的 输出 主要 分 为 两 大 部 分 ， 分 别 是 TCP/IP 的 网 络 接 口 部 分 ， 以 及 传统 的 Unix socket 
部 分 。 还 记得 我 们 在 基础 篇 里 面 曾经 谈 到 档案 的 类 型 吗 ? 那个 socket 与 FIFO 档案 还 记得 
吧 ? 那 就 是 在 Unix 接口 用 来 做 为 程序 数据 交流 的 接口 了 ， 也 就 是 上 头 表格 内 看 到 的 Active 
Unix domain sockets 的 内 容 哆 一 


通常 鸟 哥 都 是 建议 加 上 『-n J 这 个 ee 主机 名 与 服务 名 称 的 反 查 ， 直 接 以 
IP 及 端口 号 码 (port number) 来 显示 ， 显 示 0 . oe ! 至 于 在 输出 的 讯息 当中 ， 我 
的 输出 部 分 


们 先 来 谈 一 谈 关 于 网 络 联机 状态 出 


。 Proto : 该 联机 的 封包 协议 ， 主 要 为 TCP/UDP 等 封包 

e。 Recv-Q : 非 由 用 户 程序 连接 所 复制 而 来 的 总 bytes 数 ; 

e。 Send-Q : 由 远程 主机 所 传送 而 来 ， 但 不 具有 ACK 标志 的 总 bytes 数 ， 意 指 主动 联机 
SYN 或 其 他 标志 的 封包 所 占 的 bytes 数 ; 

。 Local Address : 本 地 端的 地 址 ， 可 以 是 IP (-n 参数 存在 时 )， 也 可 以 是 完整 的 主机 名 。 使 


用 的 格 是 就 是 『 IP:port 3 只 是 IP 的 格式 有 1IPv4 及 IPv6 的 差异 。 如 上 所 示 ， 在 port 22 
的 接口 中 ， 使 用 的 :::22 就 是 针对 |Pv6 的 显示 ， 事 实 上 他 就 相同 于 0.0.0.0:22 的 意思 。 
至 于 port 25 仅 针 对 lo 接口 开放 ， 意 指 Internet 基本 上 是 无 法 连接 到 我 本 机 的 25 者 口 
啦 | 

。 Foreign Address : 远程 的 主机 IP 与 port number 

。 stat : 状态 栏 ， 主 要 的 状态 含有 : 


o ESTABLISED : 已 建立 联机 的 状态 ; 

o SYN_SENT : 发 出 主动 联机 (SYN 标志 ) 的 联机 封包 

o SYN_RECYV : 接收 到 一 个 要 求 联机 的 主动 联机 封包 

o FIN_WAIT1 : 该 播 槽 服务 (Socket) 已 中 断 ， 该 联机 正在 断 线 当 中 ; 

o FIN_WAIT2 : 该 联机 已 挂 断 ， 但 正在 等 待 对 方 主机 响应 断 线 确认 的 封包 
o TIME_WAIT : 该 联机 已 挂 断 ， 但 socket 还 在 网 络 上 等 待 结 

o LISTEN : 通常 用 在 服务 的 监听 port ! 可 使 用 『 -|J 参数 查阅 。 


基本 上 ， 我 们 常常 谈 到 的 netstat 的 功能 ， 就 是 在 观察 网 络 的 联机 状态 了 ， 而 网 络 联 机 状态 

中 ， 又 以 观察 『 我 目前 开 了 多 少 的 port 在 等 待 客 户 端的 联机 J 以 及 『 目 前 我 的 网 络 联机 状态 
中 ， 有 多 少 联机 已 建立 或 产生 问题 」 最 常见 。 那 你 如 何 了 解 与 观察 呢 ? 通常 鸟 哥 是 这 样 处 理 
的 : 


# 范例 三 : 和 郁 出 目前 已 经 启动 的 网 络 服务 

[root@www ~]# netstat -tulnp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 © 0.0.0.0:34796 0.0.0.0:* LISTEN 987/rpc.statd 
tcp 0 9 0.0.0.0:111 0.0.0. 人 LISTEN 969/rpcbind 
tcp 0 © 127.0.0.1:25 a 0.0: LISTEN 1231/master 
tcp 0 O22 六 LISTEN 1155/sshd 
udp 0 9 0.0.0.0:111 0. 9. ©O.0:* 969/rpcbind 

. (底下 省 略 ).. 


# 上 面 最 重要 的 其 实 是 那个 -1 的 参数 ， 因 为 可 以 仅 列 出 有 在 Listen 的 port 


你 可 以 发 现 很 多 的 网 络 服务 其 实 仅 针对 本 机 的 lo 开放 而 已 ， 因 特 网 是 连接 不 到 该 埠 口 与 服务 
的 。 而 由 上 述 的 数据 我 们 也 可 以 看 到 ， 启 动 port 111 的 ， 其 实 就 是 rpcbind 那 只 程序 ， 那 如 
果 想 要 关闭 这 个 堆 口 ， 你 可 以 使 用 kill 删除 PID 969， 也 可 以 使 用 killall 删除 rpcbind 这 个 程 
序 即 可 。 如 此 一 来 ， 很 轻松 的 你 就 能 知道 哪个 程序 启动 了 哪些 端口 虽 ! 


# 范例 四 : 观察 本 机 上 头 所 有 的 网 络 联机 状态 
[root@www ~]# netstat -atunp 
Active Internet connections (servers and established) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 
tcp 0 © 0.0.0.0:111 0.0.0.0:* LISTEN 969/rpcbind 
tcp 0 © 0.0.0.0:22 0.0.0.0:* LISTEN 1155/sshd 
tcp 0 OP T2700 T1295 0.0.0.0:* LISTEN 1231/master 
tcp 0 52 192.168.1.100:22 192.168.1.101:1937 ESTABLISHED 4716/0 


.. (底下 省 略 ),..， 


看 到 上 头 的 特殊 字体 吧 ? 那 代表 目前 已 经 建立 联机 的 一 条 网 络 联机 ， 他 是 由 远程 主机 
192.168.1.101 启动 一 个 大 于 1024 的 起 口 向 本 地 端 主机 192.168.1.100 的 port 22 进行 的 一 
条 联机 ， 你 必须 要 想起 来 的 是 : 『Client 端 是 随机 取 一 个 大 于 1024 以 上 的 port 进行 联 

机 J ， 此 外 『 只 有 root 可 以 启动 小 于 1024 以 下 的 port 4」， 那 就 看 的 懂 上 头 那 条 联机 嚼 ! 如 
果 这 条 联机 你 想 要 砍 掉 他 的 话 ， 看 到 最 右边 的 4716 了 没 ? kill 会 用 吧 1 人 人 ^ 


至 于 传统 的 Unix socket 的 数据 ， 记 得 使 用 man netstat 查阅 一 下 吧 | 这 个 Unix socket 通常 
是 用 在 一 些 仅 在 本 机 上 运作 的 程序 所 开启 的 插 模 接口 文件 ， 例 如 XWindow 不 都 是 在 本 机 上 
运作 而 已 吗 ? 那 何必 启动 网 络 的 port 呢 ? 当然 可 以 使 用 Unix socket 史 ， 另 外 ， 例 如 Postfix 
这 一 类 的 网 络 服务 器 ， 由 于 很 多 动作 都 是 在 本 机 上 头 来 完成 的 ， 所 以 以 会 占用 很 多 的 Unix 
Socket 喔 ! 


例题 : 请 说 明 服 务 名 称 与 port number 的 对 应 在 Linux 当中 ， 是 用 那个 档案 来 设 定 对 应 的 ? 
答 : /etc/services 


5.2.4 侦 测 主机 名 与 IP 对 应 : host, nslookup 


关于 主机 名 与 IP 的 对 应 中 ， 我 们 主要 介绍 的 是 DNS 客户 端 功能 的 dig 这 个 指令 。 不 过 除了 
这 个 指令 之 外 ， 其 实 还 有 两 个 更 简单 的 指令 ， 那 就 是 host 与 nslookup 啦 ! 底下 让 我 们 来 聊 
聊 这 两 个 指令 吧 ! 


e host 


这 个 指令 可 以 用 来 查 出 茶 个 主机 名 的 IP 喔 ! 举例 来 说 ， 我 们 想 要 知道 tw.yahoo.com 的 IP 
时 ， 可 以 这 样 做 : 


[root@www ~]# host [-a] hostname [server] 

选项 与 参数 : 

-a : 列 出 该 主机 详细 的 各 项 主机 名 设 定数 据 

[server] :可 以 使 用 非 为 /etc/resolv.conf 的 DNS 服务 器 IP 来 查询 。 


# 范例 一 : 列 出 tw.yahoo.com 的 IP 

[root@www ~]# host tw.yahoo.com 

tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 
tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


瞧 1IP 是 119.160.246.241 啊 ! 很 简单 就 可 以 查询 到 IP 了 |! 那么 这 个 IP 是 向 谁 查询 的 呢 ? 
其 实 就 是 写 在 /etc/resolv.conf 那个 档案 内 的 DNS 服务 器 IP 啦 ! 如 果 不 想 要 使 用 该 档案 内 的 
主机 来 查询 ， 也 可 以 这 样 做 : 


[root@www ~]# host tw.yahoo.com 168.95.1.1 
Using domain server: 

Name: 168.95.1.1 

Address: 168.95.1.1#53 

Aliases: 


tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 
tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


会 告诉 我 们 所 使 用 来 查询 的 主机 是 哪 一 部 呐 ! 这 样 就 够 清楚 了 吧 ! 不 过 ， 再 怎么 清楚 也 比 不 
过 dig 这 个 指令 的 ， 所 以 这 个 指令 仅 是 参考 参考 啦 | 


e。 nslookup 


这 玩意 儿 的 用 途 与 host 基本 上 是 一 样 的 ， 就 是 用 来 作为 IP 与 主机 名 对 应 的 检查 ， 同 样 是 使 
用 /etc/resolv.conf 这 个 档案 来 作为 DNS 服务 器 的 来 源 选择 。 


[root@www ~]# nslookup [-query=[type]] [hostname&#124;IP] 
选项 与 参数 : 
-query=type : 查询 的 类 型 ， 除 了 传统 的 IP 与 主机 名 对 应 外 ，DNS 还 有 很 多 信息 ， 
所 以 我 们 可 以 查询 很 多 不 同 的 信息 ， 包 括 mx，cname 等 等 ， 
例如 : -query=mx 的 查询 方法 ! 


# 范例 一 : 找 出 www.google.com 的 IP 
[root@www ~]# nslookup www.google.com 
Server: 由 8895 

Address : 168.95.1.1#53 


Non-authoritative answer: 

www.google.com canonical name = www.]1.google.com. 
Name: www.1.goo0gle.com 

Address: 74.125.71.106 

so nl Te 


# 范例 二 : 找 出 168.95.1.1 的 主机 名 
[root@www ~]# nslookup 168.95.1.1 


Server: 168.95.1.1 
Address: 168.95.1.1#53 


1.1.95.168.in-addr.arpa name = dns.hinet.net. 


如 何 ， 看 起 来 与 host 差不多 吧 ! 不过， 这 个 nslookup 还 可 以 由 IP 找 出 主机 名 喔 ! 例如 那个 
范例 二 ， 他 的 主机 名 是 : dns.hinet.net 哩 ! 目前 大 家 都 建议 使 用 dig 这 个 指令 来 取代 
nslookup ， 我 们 会 在 第 十 九 章 DNS 服务 器 那 时 再 来 好 好 谈 一 谈 吧 ! 


5.3 远程 联机 指令 与 实时 通讯 软件 


啥 是 远程 联机 呢 ? 其 实 就 是 在 不 同 的 计算 机 之 间 进 行 登入 的 情况 啦 ! ee telnet, ssh 
或 者 是 ftp 等 协议 来 进行 远程 主机 的 登入 。 底 下 我 们 就 分 别 来 介绍 一 下 这 些 基 本 的 指令 吧 ! 这 
里 仅 是 谈 到 客户 端 功能 喔 ， 相 关 的 服务 器 我 们 则 会 在 后 续 进 pon ° 


5.3.1 终端 机 与 BBS 联机 : telnet 


telnet 是 早期 我 们 在 个 人 计算 机 上 面 要 链接 到 服务 器 工作 时 ， 最 重要 的 一 个 软件 了 ! 他 不 但 可 
以 直接 连接 到 服务 器 上 头 ， 还 可 以 用 来 连结 BBS 呢 ! 非常 棒 ! 不 过 ，telnet 本 身 的 数据 在 传 
送 的 时 候 是 使 用 明码 (原始 的 数据 ， 没 有 加 密 ) ， 所 以 数据 在 Internet 上 面 跑 的 时 候 ， 会 比较 
危险 一 点 (就 怕 被 别人 监听 啊 )。 更 详细 的 资料 我 们 会 在 第 十 一 章 远 程 联机 服务 器 内 做 介绍 

的 。 


[root@www ~]# telnet [host&#124;IP [port]] 
# 范例 一 : 连结 到 台湾 相当 热门 的 PTT BBS 站 ptt.cc 
[root@www ~]# yum install telnet  &lLt;== 默 认 没 有 安装 这 软件 
[root@www ~]# telnet ptt,cc 

欢迎 来 到 批 踢 踢 实业 坊 目前 有 【190118】 名 使 用 者 与 您 一 同 对 抗 炎炎 夏 日 。 
请 输入 代号 ， Re guest 参观 ， 或 以 new 注册 : 


[高 手 召集 令 ] 台湾 黑客 年 会 暑假 与 你 驴 翻 南港 http://reg.hitcon.org/hit2011 
要 学 计算 机 ， 首 选 台湾 大 学 信息 训练 班 ! http://tinyurl.com/3z42apw 


如 上 所 示 ， 我 们 可 以 透 过 telnet 轻易 的 连结 到 BBS 上 面 ， 而 如 果 你 的 主机 有 开启 telnet 服务 
器 服务 的 话 ， 同 样 的 利用 『 telnet IP 4 并 且 输 入 账号 与 密码 之 后 ， 就 能 够 登入 主机 了 “。 另 
外 ， 在 Linux 上 的 telnet 软件 还 提供 了 Kerberos 的 认证 方式 ， 有 兴趣 的 话 请 自行 参阅 man 
telnet 的 说 明 。 


除了 连结 到 服务 器 以 及 连结 到 BBS 站 之 外 ，telnet 还 可 以 用 来 连结 到 某 个 port (服务 ) 上 头 
呐 | 举例 来 说 ， 我 们 可 以 用 telnet 连接 到 port 110 ， 看 看 这 个 port 是 否 有 正确 的 启动 呢 ? 


# 范例 二 : 侦 测 本 机 端的 119 这 个 port 是 否 正确 启动 ? 
[root@www ~]# telnet localhost 110 
Trying 127.0.0.1... 
telnet: connect to address 127.0.0.1: Connection refused 
# 如 果 出 现 这 样 的 讯息 ， 代 表 这 个 port 没有 启动 或 者 是 这 个 联机 有 问题 ， 
# 因为 你 看 到 那个 refused 嘛 1! 
[root@www ~]# telnet localhost 25 
Ty LnNO :le 
Connected to localhost. 
Escape character is '^]'. 
220 www.centos.vbird ESMTP Postfix 
ehlo localhost 
250-www.centos.vbird 
250-PIPELINING 
250-SIZE 10240000 
Be 
250 DSN 
quit 
221 2.0.0 Bye 
Connection closed by foreign host. 


瞧 ! 根据 输出 的 结果 ， 我 们 就 能 够 知道 这 个 通讯 协议 (port number 提供 的 通讯 协议 功能 ) 是 否 
有 成 功 的 启动 呐 | 而 在 每 个 port 所 监听 的 服务 都 有 其 特殊 的 指令 ， 例 如 上 述 的 port 25 就 是 
在 本 机 接口 所 提供 的 电子 邮件 服务 ， 那 个 服务 所 支持 的 指令 就 如 同上 面 使 用 的 数据 一 样 ， 但 
是 其 他 的 port 就 不 见得 支持 这 个 『 ehlo 4 的 命令 ， 因 为 不 同 的 port 有 不 同 的 程序 嘛 ! 所 以 
当然 支持 的 命令 就 不 同 嘿 1 


5.3.2 FTP 联机 软件 : ftp, Iftp 


现在 的 人 们 由 于 有 高 容量 的 email 可 以 用 ， 因 此 传送 档案 可 以 很 轻松 的 透 过 email 。 不 过 
email 还 是 有 单 封 信件 容量 限制 ， 如 果 想 要 一 口气 传送 个 几 百 MB 的 档案 ， 和 恐怕 还 是 得 要 透 
过 FTP 这 个 通讯 协议 才 行 啊 ! 文字 接口 的 FTP 软件 主要 有 ftp, Iftp 两 个 ， 图 形 接口 的 呢 ? 在 
CentOS 上 面 预 设 有 gftp 这 个 好 用 的 东 东 。 在 这 里 我 们 仅 介 绍 文字 接口 的 两 个 指令 而 已 。 


e ftp 


ftp 这 个 指令 很 简单 ， 用 在 处 理 FTP 服务 器 的 下 载 数据 啦 。 由 于 乌 可 所 在 的 位 置 在 昆山 科大 ， 
因此 这 os 昆山 科大 的 FTP 服务 器 为 例 : 


[root@www ~]# ftp [host&#124;IP] [port] 


# 范例 一 : 联机 到 昆山 科大 去 看 看 

[root@www ~]# yum install ftp 

[root@www ~]# ftp ftp.ksu.edu.tw 

Connected to ftp.ksu,edu,tw (120.114.150.21). 

220---------- Welcome to Pure-FTPd [privsep] ---------- 

220-You are user number 1 of 50 allowed. 

220-Local time is now 16:25\. Server port: 21. 

220-0nly anonymous FTP is allowed here  &lLti;== 讯 息 要 看 啊 ! 这 个 FTP 仅 支援 匿名 
220-IPv6 connections are also welcome on this server. 

220 You will be disconnected after 5 minutes of inactivity. 

Name (ftp.ksu.edu.tw:root): anonymous  &1lLt;== 乌 哥 这 里 用 匿名 登录 ! 
230 Anonymous user logged in &1lLt;== 嗯 ! 确实 是 匿名 登录 了 | 
Remote system type is UNIX. 

Using binary mode to transfer files. 


ftp&gt; &1t ;== 最 终 登 入 的 结果 看 起 来 是 这 样 ! 

ftp&gt; help &1t ;== 提 供需 要 的 指令 说 明 ， 可 以 常 参考 ! 
ftp&gt; dir &1t ;== 显 示 远 程 服务 器 的 目录 内 容 (文件 名 列表 ) 
ftp&gt; cd /pub &1t ;== 变 换 目 录 到 /pub 当中 


ftp&gt; get filename  &]lt;== 下 载 单一 档案 ,， 档 名 为 filename 
ftp&gt; mget filename* &1t;== 下 载 多 个 档案 ， 可 使 用 通配符 * 
ftp&gt; put filename  &lt;== 上 传 filename 这 个 档案 到 服务 器 上 
ftp&gt; delete file &1t ; == 删除 主机 上 的 file 这 个 档案 


ftp&gt; mkdir dir &1t ;== 建 立 dir 这 个 目录 

ftp&gt; lcd /home &1t; == 切换 『 本 地 端 主机 J 的 工作 目录 
ftp&gt; passive &1t ; == 启动 或 关闭 passive 模式 
ftp&gt; binary &1t ; == 数据 传输 模式 设 定 为 binary 格式 
ftp&gt; bye &1t;== 结 束 ftp 软件 的 使 用 


FTP 其 实 算是 一 个 很 麻烦 的 协议 ， 因 为 他 使 用 两 个 port 分 别 进行 命令 与 数据 的 交流 ， 详 细 的 
数据 我 们 会 在 第 二 十 一 章 的 FTP 服务 器 内 详 谈 ， 这 里 我 们 先 单纯 的 介绍 一 下 如 何 使 用 ftp 这 
个 软件 。 首 先 我 们 当然 是 需要 登入 哆 ， 所 以 在 上 头 的 表格 当中 我 们 当然 需要 填 入 账号 与 密码 
了 。 不 过 由 于 昆山 科大 仅 提 供 匿名 登录 ， 而 匿名 登录 者 的 账号 就 是 『anonymous J」 所 以 直接 
填写 那个 账号 即 可 。 如 果 是 私人 的 FTP 时 ， 才 需要 提供 一 组 完整 的 账号 与 密码 啦 ! 


登入 FTP 主机 后 ， 就 能 够 使 用 ftp 软件 的 功能 进行 上 传 与 下 载 的 动作 ， 几 个 常用 的 ftp 内 指令 
如 上 表 ， 不 过 ， 乌 可 建议 你 可 以 连 到 大 学 的 FTP 网 站 后 ， 使 用 help (或 问号 3) 来 参考 可 用 的 
间 念 ， 然后 尝试 下 载 以 测试 使 用 一 下 这 个 指令 吧 ! 这 样 以 后 没有 浏览 器 的 时 候 ， 你 也 可 以 到 
ftp 下 载 了 呢 ! 不 错 吧 ! 另外 你 要 注意 的 是 ， 离 开 ftp 软件 时 ， 得 要 输入 『T byeJd 吗 1 不 是 『 
exitJ 啦 ! 


如 果 由 于 某 些 理由 ， 让 你 的 FTP 主机 的 port 开 在 非 正规 的 埠 口 时 ， 那 你 就 可 以 利用 底下 的 方 
式 来 连接 到 该 部 主机 喔 ! 


[root@www ~]# ftp hostname 318 
# 假设 对 方 主机 的 ftp 服务 开启 在 318 这 个 port 啊 ! 


。 Iftp (自动 化 脚本 ) 


单纯 使 用 ftp 总 是 觉得 很 麻烦 ， 有 没有 更 快速 的 ftp 用 户 软件 呢 ? 让 我 们 可 以 使 用 类 似 网 址 列 
的 方式 来 登入 FTP 服务 器 啊 ? 有 的 ， 那 就 是 Iftp 的 功能 了 ! Iftp 预 设 使 用 匿名 登录 FTP 服务 
器 ， 可 以 使 用 类 似 网 址 列 的 方式 取得 数据 ， 使 用 上 比 单纯 的 ftp 要 好 用 些 。 此 外 ， 由 于 可 在 
指令 列 输入 账号 /密码 ， 可 以 辅助 进行 程序 脚本 的 设计 喔 ! 


[root@www ~]# lftp [-p port] [-u user[,pass]] [host&#124;IP] 
[root@www ~]# lftp -f filename 
[root@www ~]# lftp -c "commands" 
选项 与 参数 : 
-Pp :后 面 可 以 直接 接 上 远程 FTP 主机 提供 的 port 
-U :后 面 则 是 接 上 账号 与 密码 ， 就 能 够 连接 上 远程 主机 了 
如 果 没 有 加 账号 密码 ， 1ftp 默认 会 使 用 anonymous 尝试 匿名 登录 
-ff :可 以 将 指令 写 入 脚本 中 ， 这 样 可 以 帮助 进行 shell Script 的 自动 处 理 喔 |! 
-C :后 面 直接 加 上 所 需要 的 指令 。 


# 范例 一 : 利用 1ftp 登入 昆山 科大 的 FTP 服务 器 

[root@www ~]# yum install lftp 

[root@www ~]# lftp ftp.ksu.edu.tw 

lftp ftp.ksu.edu.tw:~&gt; 

# 瞧 ! 一 下 子 就 登入 了 ! 很 快乐 吧 ! 人 ^_ 人 1 你 同样 可 使 用 help 去 查阅 相关 内 部 指令 


至 于 登入 FTP 主机 后 ， 一 样 可 以 使 用 『helpJ 来 显示 出 可 以 执行 的 指令 ， 与 ftp 很 类 似 啦 ! 
不 过 多 了 书签 的 功能 ， 而 且 也 非常 的 类 似 bash 呐 ! 很 不 错 哟 ! 除了 这 个 好 用 的 文字 接口 的 
FTP 软件 之 外 ， 事 实 上 还 有 很 多 图 形 接口 的 好 用 软件 呢 ! 最 常见 的 就 是 gftp 了 ， 非 常 的 容易 
上 手 喔 ! CentOS 本 身 就 有 提供 gftp 了 ， 你 可 以 拿 出 原版 的 光 瘟 来 安装 ， 然 后 进入 X 
Window 后 ， 启 动 一 个 shell ， 输 入 『 gftp 4 就 能 够 发 现 他 的 好 用 啦 ! 


如 果 你 想 要 定时 的 去 捉 下 昆山 科大 FTP 网 站 下 的 /pub/CentOS/RPM-GPG* 的 档案 时 ， 那 么 
那个 脚本 应 该 要 怎么 写 呢 ? 我 们 尝试 来 写 写 看 吧 ! 


# 使 用 档案 配合 1ftp 去 处 理 时 : 

[root@www ~]# mkdir lftp; cd lftp 

[root@www lftp]# vim lftp.ksu.sh 

open ftp.ksu.edu.tw 

cd /pub/Ccentos/ 

mget -c -d RPM-GPG* 

bye 

[root@www lftp]# lftp -f lftp.ksu.sh 

[root@www lftp]# ls 

lftp.ksu.sh RPM-GPG-KEY-CentOS-3 RPM-GPG-KEY-CentOS-4 RPM-GPG-KEY-CentOS-6 
RPM-GPG-KEY-beta RPM-GPG-KEY-centos4 RPM-GPG-KEY-CentOS-5 


# 直接 将 要 处 理 的 动作 加 入 1ftp 指令 中 
[root@www lftp]# vim lftp.ksu.sh 
lftp -c "open ftp.ksu.edu.tw 

cd /pub/Ccentos/ 

mget -c -d RPM-GPG* 

bye" 

[root@www lftp]# sh lftp.ksu.sh 


若 为 非 匿名 登录 时 ， 则 可 以 使 用 『 open -u username,password hostname J 修改 Iftp.ksu.sh 


的 第 一 行 ! 如 果 再 将 这 个 脚本 写 入 crontab 当中 ， 你 就 可 以 定时 的 以 FTP 进行 上 传 /下 载 的 功 
罗 ! 这 就 是 文字 指令 的 好 处 ! 


5.3.3 图 形 接口 的 实时 通讯 软件 : pidgin (gaim 的 延伸 ) 


哥 的 Linux 私 房 菜 


现在 应 该 大 家 都 知道 什么 是 MSN, 雅虎 实时 通 以 及 其 他 的 通讯 软件 吧 ? 那么 要 连 上 这 些 服 务 
器 时 ， 该 怎么 处 理 哪 很 简单 ， 在 X Window 底下 使 用 pidgin 就 好 了 ! 简直 简单 到 不 行 ~ 请 
先进 入 X Window 系统 ， 然 后 经 过 『 应 用 程序 1--> 『 因 特 网 」-->『Pidgin 网 络 实时 通 J 启动 
他 即 可 (请 注意 你 必须 已 经 安装 了 pidgin 了 ， 可 用 yum install pidgin 处 理 ) 。 


不 过 ， 伤 脑筋 的 是 ， 我 们 所 安装 的 basic server 类 型 的 CentOS 6.x 主要 做 为 服务 器 之 用 ， 所 
以 连 图 形 接口 也 没有 给 我 们 。 所 以 ， 鸟 哥 又 用 另外 一 部 主机 安装 成 Desktop 的 模式 ， 利 用 该 
部 主机 来 测试 pidgin 这 玩意 儿 的 |! 因此， 底下 的 练习 你 也 可 以 先 略 过 ， 等 到 你 安装 另 一 部 
Desktop linux 时 再 来 玩 玩 |! 





获 迎 使 用 Pidgin! 


您 尚未 设 定 任何 即时 通讯 的 帐 呈 。 要 使 用 Pidgin 来 通讯 ， 请 先 近 下 面 
的 「 新 增 」 按 纽 ， 青 讼 定 好 您 的 帐号 即 林 。 如 果 您 希 起 Pidgin 使 用 地 
pie : 可 在 完成 上 一 步 生 :友和 续 按 「 新 增 」 按 纽 来 设 定 其 


您 如 果 斋 站 新 增 、 修 恬 或 删除 帐号 ， 只 要 透 过 好 点 清单 上 的 「 帐 号 = 
管理 帐号 」 指 仿 ， 有 即 林 返回 这 司 恒 面 。 











图 5.3-1、pidgin 
的 欢迎 画面 


在 上 图 中 按 下 『 新 增 ] ， 然 后 你 会 看 到 如 下 的 画面 : 
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图 5.3-2、pidgin 支持 的 实 


很 神奇 的 是 ，pidgin 支持 的 通讯 有 够 多 的 ! 我 们 使 用 MSN 来 作 个 解释 好 了 : 
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登入 选项 
使 用 者 (U) : [usename@nhotmai com| 
密码 介 ) : [| 





口 记 住 密码 人 ww 
使 用 者 自 定 选 项 


帐号 别名 【只 在 本 楼 生效 ) 人) : [ 


口 新 邮件 通知 {M7 
口 使 用 下 列 好 点 图 示 中 : 





图 5.3-3、 设 定 MSN 的 账 


如 上 图 ， 在 画面 中 输入 你 的 账号 与 密码 ， 如 果 是 在 公用 的 计算 机 上 ， 千 万 不 要 按 下 『 记 住 密 
码 」 项目 喔 ! 按 下 新 增 后 ，pidgin 预 设 就 会 党 试 登 入 了 | 登入 后 的 画面 如 下 所 示 : 
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I | 素 | 潍 新 犬 诗 中 半 形 辐 四 图 5.3-4、 使 用 pidgin 的 MSN 方式 进行 


连天 吕 


如 果 想 要 注销 了 ， 那 么 就 按 下 图 5.3-4 最 右边 那个 窗口 ， 将 『 启 动 」 的 那个 方 框 名 选取 消 ， 你 
就 直接 注销 史 ! 
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5.4 文字 接口 网 页 浏览 


什么 ?文字 界面 竟然 有 浏览 器 ! 别 运 了 好 不 好 ?呵呵 ! 谁 有 那个 时 间 在 喜 你 哟 ! 丨 的 啦 1 有 
这 个 东西 ， 是 在 文字 界面 下 上 网 浏览 的 好 工具 | 分别 是 links 及 wget 这 两 个 宝贝 恒 ， 但 是 ， 
你 必需 要 确定 你 已 经 安装 了 这 两 个 套件 才 行 。 好 佳 在 的 是 ，CentOS 预 设 这 两 个 玩意 儿 都 有 
安装 喔 ! 底下 就 让 我 们 来 聊 一 聊 这 两 个 好 用 的 家 伙 吧 ! 


5.4.1 文字 浏览 器 : links 


其 实 早期 鸟 哥 最 常 使 用 的 是 lynx 这 个 文字 浏览 器 ， 不 过 CentOS 从 5.x 以 后 默认 使 用 的 文字 
浏览 器 是 links 这 一 支 ， 这 两 支 的 使 用 方式 又 非常 的 类 似 ， 因 此 ， 在 这 一 版 当中 ， 我 们 就 仅 介 
绍 links 鹃 ! 若 对 lynx 有 兴趣 的 话 ， 自 己 man 一 下 吧 ! 


这 个 指令 可 以 让 我 们 来 浏览 ， 但 鸟 哥 认为 ， 这 个 档案 最 大 的 功能 是 在 『 查阅 Linux 本 机 

上 面 以 HTML 语法 写成 的 ye (document)4 怎么 说 呢 ? 如 果 你 曾经 到 Linux 本 机 底下 的 

/usr/share/doc 这 个 目录 看 过 文件 数据 的 话 ， 就 会 常常 发 现 一 些 网 页 档案 ， 使 用 vi 去 查阅 

时 ， 老 是 看 到 一 堆 HTML 的 语法 ! 有 碍 阅读 啊 ~ 这 时 候 使 用 links 就 是 个 好 方法 啦 ! 可 以 看 
的 清 清楚 楚 啊 ! ^ 人 和 


[root@www ~]# links [options] [URL] 


选项 与 参数 : 

-anonymous [0&#124;1] : 是 否 使 用 匿名 登录 的 意思 ; 

-dump [0O&#124;1] : 是 否 将 网 页 的 数据 直接 输出 到 standard out 而 非 Links 软件 功能 
-dump_charset : 后 面 接 想 要 透 过 dump 输出 到 屏幕 的 语系 编码 ，big5 使 用 cp959 喔 

# 范例 一 : 浏览 Linux kernel 网 站 


[root@www ~]# links http://www.Kkernel.org 


当 我 直接 输入 links 网 站 网 址 后 ， 就 会 出 现 如 下 的 图 示 : 
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| root@www-~/lfitp [75x23] 





LD: /WW lel! OIR/ TIC ILC2DIO. 中 图 5.4-1、 使 
用 links 查询 网 页 数据 的 显示 结果 
上 面 这 个 画面 的 基本 说 明 如 下 : 


。 进入 画面 之 后 ， 由 于 是 文字 型 态 ， 所 以 编排 可 能 会 有 点 位 移 | 不 过 不 打 紧 ! 不 会 影响 我 
们 看 吹 吹 ! 

。 这 个 时 候 可 以 使 用 『 上 下 键 」 来 让 光标 在 上 面 的 选项 当中 (如 信箱 、 书 签 等 等 的 )， 按 下 
Enter 就 进入 该 页 面 

。 可 以 使 用 『 左 右键 」 来 移动 『 上 一 页 或 下 一 页 J 

。 一 些 常见 功能 按键 : 


o h : history ， 曾 经 浏览 过 的 URL 就 显示 到 画面 中 

o g :GotoURL， 按 g 后 输入 网 页 地 址 (URL) 如 :http://www.abc.edu/ 等 

o d : download， 将 该 链接 数据 下 载 到 本 机 成 为 档案 ; 

o q : Quit， 离 开 links 这 个 软件 ; 

o 0 :; Option， 进 入 功能 参数 的 设 定 值 修改 中 ， 最 终 可 写 入 ~/.elinks/elinks.conf 中 


o Ctrl+C : 强迫 切断 links 的 执行 。 

o 箭头 键 : 
@ 上 : 移动 光标 至 本 页 中 "上 一 个 可 连结 点 " . 
@ 下 :移动 光标 至 本 页 中 "下 一 个 可 连结 点 " . 
mn 左 :back. 跳 回 上 一 页 . 
@ 右 :进入 反 白 光标 所 链接 之 网 页 . 
m ENTER 同和 鼠标 " 右 " 键 . 


至 于 如 果 是 浏览 Linux 本 机 上 面 的 网 页 档案 ， 那 就 可 以 使 用 如 下 的 方式 : 


[root@www ~]# links /usr/share/doc/HTML/index.html 
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在 鸟 哥 的 CentOS 6.x 当中 ， 有 这 么 一 个 档案 ， 我 就 可 以 利用 links 来 取出 察看 呐 ! 显示 的 结 
果 有 点 像 底下 这 样 : 











WIKI 

Mailing Lists 
Mlrror Llst| 
TIRC 
Forums| 
Bugs| 


Donate 


CentOs 





| 4 5 >、 


使 用 links 查询 本 机 的 HTML 文件 档案 


当然 啦 ! 因为 你 的 环境 可 能 是 在 Linux 本 机 的 tty1~tty6 ， 所 以 无 法 显示 出 中 文 ， 这 个 时 候 你 
就 得 要 设 定 为 : 『LANG=en_USJ 之 类 的 语系 设 定 才 行 喔 ! 另外 ， 如 果 某 些 时 刻 你 必须 上 网 

点 选 某 个 网 站 以 自动 取得 更 新 时 。 举例 来 说 ， 早 期 的 自动 在 线 更 新 主机 名 系统 ， 仅 支持 网 页 
更 新 ， 那 你 如 何 进行 更 新 呢 ? 嘿嘿 上 可 以 使 用 links 喔 1 利用 -dump 这 个 参数 处 理 先 : 


# 透 过 links 将 tw.yahoo.com 的 网 页 内 容 整 个 抓 下 来 储存 
[root@www ~]# links -dump http://tw.yahoo.com &gt; yahoo.html 


# 某 个 网 站 透 过 GET 功能 可 以 上 传 账号 为 User 密码 为 pw ， 用 文字 接口 处 理 为 : 
[root@www ~]# links -dump \ 
&gt; http://some.site.name/web.php?name=user&password=pw &gt; testfile 


上 面 的 网 站 后 面 有 加 个 问号 (?) 对 吧 ?后面 接 的 则 是 利用 网 页 的 『 GET J 功能 取得 的 各 项 变 
量 数据 ， 利 用 这 个 功能 ， 我 们 就 可 以 直接 点 选 到 该 网 站 上 嘿 | 非常 的 方便 吧 ! 而 且 会 将 执行 
的 结果 输出 到 testfile 档案 中 ， 不 过 如 果 网 站 提供 的 数据 是 以 『 POST J 为 主 的 话 ， 那 鸟 哥 就 
不 知道 如 何 摘 定 了 。 GET 与 POST 是 WWW 通讯 协议 中 ， 用 来 将 数据 透 过 浏览 器 上 传 到 服 
务 器 端的 一 种 方式 ， 一 般 来 说 ， 目 前 讨论 区 或 部 落 格 等 ， 大 多 使 用 可 以 支持 较 多 数据 的 
POST 方式 上 传 啦 ! 关于 GET 与 POST 的 相关 信息 我 们 会 在 第 二 十 章 WWW 服务 器 当中 再 
次 的 提 及 ! 


5.4.2 文字 接口 下 载 器 : wget 
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如 果 说 links 是 在 进行 网 页 的 『 浏 览 ] ， 那 么 wget 就 是 在 进行 了 网 页 数据 的 取得 4 。 举例 来 
说 ， 我 们 的 Linux 核心 是 放置 在 www.kernel.org 内 ， 主 要 同时 提供 ftp 与 http 来 下 载 。 我 们 
知道 可 以 使 用 Iftp 来 下 载 数据 ， 但 如 果 想 要 用 浏览 器 来 下 载 呢 ? 那 就 利用 wget 吧 ! 


[root@www ~]# wget [option] [网 址 ] 

选项 与 参数 : 

若 想 要 联机 的 网 站 有 提供 账号 与 密码 的 保护 时 ， 可 以 利用 这 两 个 参数 来 输入 哩 ! 
--http-user=usrname 

--http-password=password 

--quiet :不 要 显示 wget 在 抓 取 数 据 时 候 的 显示 讯息 

更 多 的 参数 请 自行 参考 man wget 吧 ! 人 和信 


# 范例 一 : 请 下 载 2.6.39 版 的 核心 

[root@www ~]# wget \ 

&gt; http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.39.tar.bz2 
--2011-07-18 16:58:26-- http://www.kernel.org/pub/linux/kernel/v2.6/.. 
Resolving www.Kkernel.org... 130.239.17.5, 149.20.4.69, 149.20.20.133, 
Connecting to www.kernel.org&#124;130.239.17.5&#124; :80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 76096559 (73M) [application/x-bzip2] 

Saving to: ‘linux-2.6.39.tar.bz2"' 


88% [================================ &gt,; ] 67,520,536 1.85M/s eta 7s 


你 瞧 瞧 一 很 可 爱 吧 ! 不 必 透 过 浏览 器 ， 只 要 知道 网 址 后 ， 立 即 可 以 进行 档案 的 下 载 ， 又 快速 
又 方便 ， 还 可 以 透 过 proxy 的 帮助 来 下 载 呢 ! 透 过 修改 /etc/wgetrc 来 设 定 你 的 代理 服务 器 


[root@www ~]# vim /etc/wgetrc 

#http_proxy = http://proxy.yoyodyne.com:18023/ &1lLt;== 找 到 底下 这 几 行 ， 大 约 在 78 行 
#ftp_proxy http://proxy.yoyodyne.com:18023/ 

#USe_proxy on 


# 将 他 改 成 类 似 底 下 的 模样 ， 记 得 ， 你 必须 要 有 可 接受 的 proxy 主机 才 行 ! 
http_proxy = http://proxy.ksu.edu.tw:3128/ 
use_proxy = on 


5. 


很 
党 
要 


底 


5. 


说 
他 
明 


5 封包 搓 取 功能 


多 时 候 由 于 我 们 的 网 络 联机 出 现 问 题 ， 使 用 类 似 ping 的 软件 功能 却 又 无 法 找 出 问题 点 ， 最 
见 的 是 因为 路 由 与 IP 转 递 后 所 产生 的 一 些 困扰 (请 参考 防火 墙 与 NAT 主机 部 分 )， ge 
怎么 办 ?最 简单 的 方法 就 是 『 分 析 封 包 的 流向 〗 虽 1 透 过 分 析 封 包 的 流向 ， 我 们 可 以 了 解 
一 条 联机 应 该 是 如 何 进行 双向 的 联机 的 动作 ， 也 就 会 清楚 的 了 解 到 可 能 发 生 的 问题 所 在 了 ! 
下 我 们 就 来 谈 一 谈 这 个 tcpdump 与 图 形 接口 的 封包 分 析 软 件 吧 ! 


5.1 文字 接口 封包 撕 取 器 : tcpdump 


实在 的 ， 对 于 tcpdump 这 个 软件 来 说 ， 你 甚至 可 以 说 这 个 软件 其 实 就 是 个 黑客 软件 ， 因 为 
不 但 可 以 分 析 封 包 的 流向 ， 连 封包 的 内 容 也 可 以 进行 『 监 听 〗， 如 果 你 使 用 的 传输 数据 是 
码 的 话 ， 不 得 了 ， 在 router 或 hub 上 面 就 可 能 被 人 家 监听 走 了 1 我 们 在 第 二 章 谈 到 的 


CSMA/CD 流程 中 ， 不 是 说 过 有 所 谓 的 『 监 听 软 件 」 吗 ?这 个 tcpdump 就 是 啦 ! 很 可 怕 呐 ! 


所 


以 ， 我 们 也 要 来 了 解 一 下 这 个 软件 啊 1 ( 注 : 这 个 tcpdump 必须 使 用 root 的 身份 执行 ) 


[root@www ~]# tcpdump [-AennqX] [-i 接口 ] [-w 储存 档 名 ] [-c 次 数 ] \ 
[-r 档案 ] [所 欲 搬 取 的 封包 数据 格式 ] 

选项 与 参数 : 

-A :封包 的 内 容 以 ASCII 显示 ， 通 常用 来 提取 WWW 的 网 页 封包 资料 。 

-e :使 用 资料 连接 层 (0SI 第 二 层 ) 的 MAC 封包 数据 来 显示 ; 

-nn : 直接 以 IP 及 port number 显示 ， 而 非 主机 名 与 服务 名 称 

-q : 仅 列 出 较为 简短 的 封包 信息 ， 每 一 行 的 内 容 比较 精简 

-X : 可 以 列 出 十 六 进 制 (hex) 以 及 ASCII 的 封包 内 容 ， 对 于 监听 封包 内 容 很 有 用 

-i : 后 面 接 要 『 监 听 J 的 网 络 接口 ， 例 如 eth9，10o，pppg 等 等 的 界面 ; 

-W : 如 果 你 要 将 监听 所 得 的 封包 数据 储存 下 来 ， 用 这 个 参数 就 对 了 ! 后 面 接 档 名 

-Fr : 从 后 面 接 的 档案 将 封包 数据 读 出 来 。 那 个 『 档 案 J 是 已 经 存在 的 档案 ， 
并 且 这 个 『 档 案 」 是 由 -Ww 所 制作 出 来 的 。 

-C :监听 的 封包 数 ， 如 果 没 有 这 个 参数 ， tcpdump 会 持续 不 断 的 监听 ， 
直到 使 用 者 输入 [ctrl]-c 为 止 。 

所 和 欲 报 取 的 封包 数据 格式 : 我 们 可 以 专门 针对 某 些 通讯 协议 或 者 是 IP 来 源 进行 封包 报 取 ， 
那 就 可 以 简化 输出 的 结果 ， 并 取得 最 有 用 的 信息 。 常见 的 表示 方法 有 : 
'host foo'， "host 127.0.0.1' : 针对 单 部 主机 来 进行 封包 皂 取 
'net 192.168' : 针对 菜 个 网 域 来 进行 封包 的 报 取 ; 
'src host 127.0.0.1' 'dst net 192.168': 同时 加 上 来 源 (src) 或 目标 (dst ) 限 制 
'tcp port 21' : 还 可 以 针对 通讯 协议 侦 测 ， 如 tcp，udp，arp，ether 等 
还 可 以 利用 and 与 Or 来 进行 封包 数据 的 整合 显示 呢 ! 


# 范例 一 :以 IP 与 port number 提 下 eth9 这 个 网 络 卡 上 的 封包 ， 持 续 3 秒 

[root@www ~]# tcpdump - 工 etho -nn 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 

listening on etho, link-type EN10MB (Ethernet), capture size 65535 bytes 

17:01:47.360523 IP 192.168.1.101.1937 &gt; 192.168.1.100.22: Flags [.], ack 196, win 6521 
&lt;u&gt;17:01:47.362139 IP 192.168.1.100.22 &gt; 192.168.1.101.1937: Flags [P.], seq 196 
17:01:47.363201 IP 192.168.1.100.22 &gt; 192.168.1.101.1937: Flags [P.], seq 472:636, ack 
下 47.363328 IP 192.168.1.101.1937 &gt; 192.168.1.100.22: Flags [.], ack 636, win 6477 
&1lt;== 按 下 [ctrl]-=c 之 后 结束 


6680 packets captured &lt ;== 捉 下 来 的 封包 数量 
14250 packets received by filter  &]t;== 由 过 滤 所 得 的 总 封包 数量 
7512 packets dropped by kernel &1t ;== 被 核心 所 丢弃 的 封包 


a 3 








如 果 你 是 第 一 次 看 tcpdump 的 man page 时 ， 肯 定 一 个 头 两 个 大 ， 因 为 tcpdump 几乎 都 是 分 
析 封 包 的 表 头 数据 ， 用 户 如 果 没 有 简易 的 网 络 封包 基础 ， 要 看 懂 粉 难 呐 | 所 以 ， 至 少 你 得 要 

回 到 网 络 基础 里 面 去 将 TCP 封包 的 表 头 资料 理解 理解 才 好 啊 ! ^^1 至 于 那个 范例 一 所 产生 
的 输出 范例 中 ， 我 们 可 以 约略 区 分 为 数 个 字段 ， 我 们 以 范例 一 当 中 那 个 特殊 字体 行 来 说 明 一 
下 : 


。 17:01:47.362139 : 这 个 是 此 封包 被 搬 取 的 时 间 ，『 时 :分 : 秒 」 的 单位 ; 

e。 |IP: 延 过 的 通讯 协议 是 IP ; 

。 192.168.1.100.22 > : 传送 端 是 192.168.1.100 这 个 IP， 而 传送 的 port number 为 22 ， 
你 必须 要 了 解 的 是 ， 那 个 大 于 (>) 的 符号 指 的 是 封包 的 传输 方向 喔 ! 

。 192.168.1.101.1937 : 接收 端的 IP 是 192.168.1.101， 且 该 主机 开启 port 1937 来 接 
收 ; 

。 [P.], seq 196:472 : 这 个 封包 带 有 PUSH 的 数据 传输 标志 ， 且 传输 的 数据 为 整体 数据 的 
196~472 byte ; 

。 ack 1 : ACK 的 相关 资料 。 


最 简单 的 说 法 ， 就 是 该 封包 是 由 192.168.1.100 传 到 192.168.1.101， 透 过 的 port 是 由 22 到 
1937 ， 使 用 的 是 PUSH 的 旗 标 ， 而 不 是 SYN 之 类 的 主动 联机 标志 。 呵 呵 ! 不 容易 看 的 民 
吧 | 所 以 说 ， 上 头 才 讲 请 务必 到 TCP 表 头 数据 的 部 分 去 瞧 一 瞧 的 啊 ! 


再 来 ， 一 个 网 络 状态 很 忙 的 主机 上 面 ， 你 想 要 取得 某 部 主机 对 你 联机 的 封包 数据 而 已 时 ， 使 
用 tcpdump 配合 管线 命令 与 正规 表示 法 也 可 以 ， 不 过 ， 人 毕竟 不 好 提取 ! 我 们 可 以 透 过 
tcpdump 的 表示 法 功能 ， 就 能 够 轻 多 的 将 所 需要 的 数据 独立 的 取出 来 。 在 上 面 的 范例 一 

中 ， 我 们 仅 针 对 eth0 做 监听 ， 所 以 整个 eth0 接口 上 面 的 数据 都 会 被 显示 到 屏幕 上 ， es 
析 啊 ! 那么 我 们 可 以 简化 吗 ? 了 例如 只 取出 port 21 的 联机 封包 ， 可 以 这 样 做 : 


[root@www ~]# tcpdump -i eth© -nn port 21 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on etho, link-type EN10MB (Ethernet), capture Size 96 bytes 

01:54:37.96 IP 192.168.1.101.1240 &gt; 192.168.1.100.21: . ack 1 win 65535 
01:54:37.96 IP 192.168.1.100.21 &gt; 192.168.1.101.1240: P 1:21(20) ack 1 win 5840 
01:54:38.12 IP 192.168.1.101.1240 &gt; 192.168.1.100.21: . ack 21 win 65515 
01:54:42.79 IP 192.168.1.101.1240 &gt; 192.168.1.100.21: P 1:17(16) ack 21 win 65515 
01:54:42.79 IP 192.168.1.100.21 &gt; 192.168.1.101.1240: . ack 17 win 5840 


a 
于 
1 
于 
十 
01:54:42.79 IP 192.168.1.100.21 &gt; 192.168.1.101.1240: P 21:55(34) ack 17 win 5840 


蜂 ! 这 样 就 仅 提出 port 21 的 信息 而 已 ， 且 仔细 看 的 话 ， 你 会 发 现 封包 的 传递 都 是 双向 的 ， 
client 端 发 出 『 要 求 」 而 server 端 则 子 以 『 响 应 4」， 所 以 ， 当 然 是 有 去 有 回 啊 1 而 我 们 也 就 
可 以 经 过 这 个 封包 的 流向 来 了 解 到 封包 运作 的 过 程 。 举 例 来 说 : 


1， 我们 先 在 一 个 终端 机 窗口 输入 Ttcpdump -ilo -nnJ 的 监听 ， 
2.， 再 另 开 一 个 终端 机 窗口 来 对 本 机 (127.0.0.1) 登入 『ssh localhostJ 


那么 输出 的 结果 会 是 如 何 ? 


[root@www ~]# tcpdump -i lo -nn 

1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 

2 listening on lJo, link-type EN10MB (Ethernet), capture size 96 bytes 

3 11:02:54.253777 IP 127.0.0.1.32936 &gt; 127.0.0.1.22: S 933696132:933696132(0) 

win 32767 &lt;mss 16396, sackOK,timestamp 236681316 0,nop,wscale 2&gt; 

11:02:54.253831 IP 127.0.0.1.22 &gt; 127.0.0.1.32936: S 920046702:920046702(0) 

ack 933696133 win 32767 &lt;mss 16396, sackOK,timestamp 236681316 236681316,nop, 

wscale 2&gt; 

5 11:02:54.253871 IP 127.0.0.1.32936 &gt,; 
nop, timestamp 236681316 236681316&gt; 

6 11:02:54.272124 IP 127.0.0.1.22 &gt; 127.0.0.1.32936: P 1:23(22) ack 1 win 8192 
&lt;nop,nop, timestamp 236681334 236681316&gt; 

7 11:02:54.272375 IP 127.0.0.1.32936 &gt; 127.0.0.1.22: 
nop, timestamp 236681334 236681334&gt; 


4 


127.0.0.1.22: . ack 1 win 8192 &lt;nop, 


. ack 23 win 8192 &lt;nop, 





上 表 显 示 的 头 两 行 是 tcpdump 的 基本 说 明 ， 然 后 
。 第 3 行 显示 的 是 『 来 自 client 端 ， 带 有 SYN 主动 联机 的 封包 J ， 
。 第 4 行 显示 的 是 『 来 自 server 端 ' 除了 响应 client 端 之 外 (ACK)， 还 带 有 SYN 主动 联机 
的 标志 9 
。 第 5 行 则 显示 client 端 响应 server 确定 联机 建立 (ACK) 


e。 第 6 行 以 后 则 开始 进入 数据 传输 的 步骤 。 


从 第 3-5 行 的 流程 来 看 ， 熟 不 熟悉 
过 tcpdump 之 所 以 被 称 为 黑客 软件 之 一 可 不 止 上 头 介绍 的 功能 呐 1 上 面 介 
作为 我 们 主机 的 封包 联机 与 传输 的 流程 分 析 ， Ce 


到 主机 的 防火 墙 设 定 规则 是 否 有 需要 修订 的 地 方 。 


啊 ? 没 错 1 ge ne 流程 啦 ! 够 有 趣 吧 ! 不 
绍 的 功能 可 以 用 来 


的 运作 ， 同 时 了 解 


更 神奇 的 使 用 要 来 啦 ! 如 果 我 们 使 用 tcpdump 在 router 上 面 监听 『 明 码 J 的 传输 数据 时 ， 例 
如 FTP 传输 协议 ， 你 觉得 会 发 生 什么 问题 呢 ? 了 我们 先 在 主机 端 下 达 『 tcpdump -ilo port 21 - 
nn -X 」 然 后 再 以 ftp 登入 本 机 ， 并 输入 账号 与 密码 ， 结 果 你 就 可 以 发 现 如 下 的 状况 : 


[root@www ~]# tcpdump -i lo 


-nn -X 'port 21" 


Ox0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 
Ox0010: 7f00 0001 0015 80ab 8355 2149 835c d825  ...,,.,,， UI!II.\.% 
Ox0020: 8018 2000 fe3c 0000 0101 080a Oe2e 0b67 ..... 二 
Ox0030: Qe2e 0b61 3232 3020 2876 7346 5450 6420 , .a220. (vsFTPd. 
Ox0040: 322e 302e 3129 0d0a 200 ee 
Ox0000: 4510 ©0041 d34b 4000 4006 6959 7f00 0001 E..A.K@.@.iY.... 
Ox0010: 7f00 0001 80ab 0015 835c d825 8355 215d ........., \.%.U!] 
Ox0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 ..... 本 7 
Ox0030: Qe2e 0b67 5553 4552 2064 6d74 7361 690d gUSER.dmtsai 
Ox0040: 0a 
Ox0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.0@.@.iL 
Ox0010: 7f00 0001 80ab 0015 835c d832 8355 217f ........., N20.U1: 
Ox0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227  ...,， CO 2 
Ox0030: Qe2e 1b38 5041 5353 206d 7970 6173 7377 . .8PASS .mypassw 
Ox0040: 6f72 6469 7379 6f75 0d0a ordisyou.. 

上 面 的 输出 结果 已 经 被 简化 过 了 ， 你 必须 要 自行 在 你 的 输出 结果 当中 搜寻 相关 的 字符 串 才 


行 。 te ， 我 们 可 以 发 现 『 该 FTP 软件 使 用 的 是 vsftpd 


者 输入 dmtsai 这 


， 并且 使 用 


个 账号 名 称 ， 且 密码 是 mypasswordisyouJ 嘿嘿 1 你 说 可 不 可 怕 啊 ! 如 果 


使 用 的 是 明码 的 方式 来 传输 你 的 网 络 数据 ? 所 以 我 们 才 常 常 在 讲 啊 ， 网 络 是 很 不 安全 滴 ! 


另外 你 得 了 解 ， 为 了 让 网 络 接口 可 以 让 tcpdump 监听 ， 所 以 执行 tcpdump 时 网 络 接口 会 启动 
在 『 错 乱 模 式 (promiscuous)J ， 所 以 你 会 在 /var/log/messages 里 面 看 到 很 多 的 警告 讯息 ， 
通知 你 说 你 的 网 络 卡 被 设 定 成 为 错乱 模式 ! 别 担心 ， 那 是 正常 的 。 至 于 更 多 的 应 用 ， 请 参考 
man tcpdump 史 ! 


例题 : 如 何 使 用 tcpdump 监听 (1) 来 自 eth0 适 配 卡 且 (2) 通 讯 协议 为 port 22 ，(3) 封 包 来 源 为 
192.168.1.101 的 封包 资料 ? 答 : tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.101' 


5.5.2 图 形 接口 封包 撕 取 器 : wireshark 


tcpdump 是 文字 接口 的 封包 括 取 器 ， 那 么 有 没有 图 形 接口 的 ?有 啊 ! 那 就 是 Wireshark ( 注 1) 
这 套 软件 。 这 套 软 件 早期 称 为 ethereal ， 目 前 同时 提供 文字 接口 的 tethereal 以 及 图 形 接口 的 
Wireshark 两 个 吹 吹 。 由 于 我 们 当初 安装 时 预 设 并 没有 装 这 套 ， 因 此 虹 必 须要 先 使 用 yum 去 
网 络 安 装 喔 ! 也 可 以 拿 出 光盘 来 安装 啦 ! 有 两 套 需 要 安装 ， 分 别 是 文字 接口 的 wireshark 以 及 
图 形 接口 的 wireshark-gnome 软件 。 安 装 方式 如 下 : 


[root@www ~]# yum install wireshark wireshark-gnome 


启动 这 套 软 件 的 方法 很 简单 ， 你 必须 要 在 X Window 底下 ， 透 过 『 应 用 程序 」-->『 因 特 网 J」 - 
->『wireshark network analyzerJ 就 可 以 启动 啦 | 局 动 的 画面 如 下 所 示 : 
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5.5-1、wireshark 的 使 用 示意 图 


图 

其 实 这 一 套 软 件 功能 非常 强大 ! 鸟 哥 这 里 仅 讲 简单 的 用 法 ， 若 有 特殊 需求 ， 就 得 要 自己 找 找 
数据 嘿 。 想 要 开始 括 取 封包 前 ， 得 要 设 定 一 下 监听 的 接口 之 类 的 ， 因 此 点 选 图 5.5-1 画面 中 
的 网 络 卡 小 图 标 吧 ! 就 会 出 现 如 下 的 画面 给 你 选择 了 。 
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图 5.5-2、wireshark 的 使 用 示意 图 


在 上 图 中 ， 你 得 先 选 择 想 要 监听 的 接口 ， 鸟 哥 这 里 因为 担心 外 部 的 封包 太 多 导致 画面 很 乱 ， 


因此 这 里 使 用 内 部 的 lo 接口 来 作为 范例 。 你 得 要 注意 ，lo 平时 是 很 安静 的 ! 所 以 ， 乌 哥 在 点 


选 了 TstartJ 之 后 ， 还 有 打开 终端 机 ， 之 后 使 用 『 ssh localhost 4 来 尝试 登入 自己 ， 这 样 才 
能 够 获得 封包 喔 ! 如 下 图 所 示 : 


a , 


所 哥 的 | 这 世 。 服 和 久 强 加 法 千 第 二 
乌 哥 的 Linux 私 房 菜 : 服务 如 案 设 篇 第 三 版 
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No. . Time Source Destination Protocol | Infc a 
63 7.179303 : :1 ::1 SSHv2 End 
64 7.179612 :: ::1 TCP 458 
65 7.449560 结束 侦 测 1 :1 ssHv2 ， End 
66 7.452094 1 ::1 SSHv2 End 
67 7.452172 ::1 ::1 TCP 458 
68 7.458465 : : SSHv2 Enc 
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76 7.459065 1 ::1 SSHv2 End 
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图 5.5-3、wireshark 的 使 用 示意 图 
若 没 有 问题 ， 等 到 你 捐 取 了 足够 的 封包 想 要 进行 分 析 之 后 ， 按 下 图 5.5-3 画面 中 的 停止 小 图 
示 ， 那 么 封包 撕 取 的 动作 就 会 终止 ， 接 下 来 ， 就 让 我 们 来 开始 分 析 一 下 封包 吧 ! 
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@ File: "tmp/wiresharkXXXX8cLrix" 1.... Packets: 75 Displayed: 75 Marked:.... Profile: Default 
图 5.5-4、wireshark 的 使 用 示意 图 


5.5 封包 括 取 功能 加 


整个 分 析 的 画面 如 上 所 示 ， 画 面 总 共 分 为 三 大 区 块 ， 你 可 以 将 鼠标 光标 移动 到 每 个 区 块 中 间 
的 移动 棒 ， 就 可 以 调整 每 个 区 块 的 范围 大 小 了 。 第 一 区 块 主 要 显示 的 是 封包 的 标 头 资料 ， 内 
容 就 有 点 类 似 tcpdump 的 显示 结果 ， 第 二 区 块 则 是 详细 的 表 头 资料 ， 包 括 讯 框 的 内 容 、 通 讯 
协议 的 内 容 以 及 socket pair 等 等 信息 。 第 三 区 块 则 是 16 进位 与 ASCI| 码 的 显示 结果 (详细 
的 封包 内 容 ) 。 


如 果 你 觉得 某 个 封包 有 问题 ， 在 画面 1 的 地 方 点 选 该 封包 (图 例 中 是 第 6 个 封包 )， 那 么 画面 
2 与 3 就 会 跟着 变动 ! 由 于 鸟 哥 测试 的 封包 是 加 密 数 据 的 封包 ， 因 此 画面 2 显示 出 封包 表 
头 ， 但 画面 3 的 封包 内 容 就 是 乱码 啦 ! 透 过 这 个 wireshark 你 就 可 以 一 口气 得 到 所 需要 的 所 
有 封包 内 容 只 ! 而 且 还 是 图 形 接口 的 ， 很 方便 吧 ! 


5.5.3 任意 启动 TCP/UDP 封包 的 埋 口 联机 : nc, netcat 


这 个 nc 指令 可 以 用 来 作为 某 些 服务 的 检测 ， 因 为 他 可 以 连接 到 某 个 port 来 进行 沟通 ， 此 外 ， 
还 可 以 自行 启动 一 个 port 来 倾听 其 他 用 户 的 联机 呐 ! 非常 的 不 错 用 ! 如 果 在 编译 nc 软件 的 时 
候 给 予 TGAPING_SECURITY_HOLEJ 参数 的 话 ， 嘿 嘿 | 这 个 软件 还 可 以 用 来 取得 客户 端 
的 bash 哩 ! 可怕 吧 | 我 们 的 CentOS 预 设 并 没有 给 了 予 上 面 的 参数 ， 所 以 我 们 不 能 够 用 来 作 
为 黑客 软件 ~ 但 是 nc 用 来 取代 telnet 也 是 个 很 棒 的 功能 了 ! (有 的 系统 将 执行 文件 nc 改名 为 
netcat 啦 ! ) 


[root@www ~]# nc [-u] [IP&#124;host] [port] 
[root@www ~]# nc -1 [IP&#124;host] [port] 
选项 与 参数 : 

-1] :作为 监听 之 用 ， 亦 即 开启 一 个 port 来 监听 用 户 的 联机 ; 
-U :不 使 用 TCP 而 是 使 用 UDP 作为 联机 的 封包 状态 


# 范例 一 :与 telnet 类 似 ， 连 接 本 地 端的 port 25 查阅 相关 讯息 


[root@www ~]# yum install nc 
[root@www ~]# nc localhost 25 


这 个 最 简单 的 功能 与 telnet 几乎 一 样 吧 ! 可 以 去 检查 某 个 服务 啦 ! 不 过 ， 更 神奇 的 在 后 面 ， 
我 们 可 以 建立 两 个 联机 来 传讯 喔 ! 举 个 例子 来 说 ， 我 们 先 在 服务 器 端 启动 一 个 port 来 进行 倾 
听 : 

# 范例 二 : 激活 一 个 port 20000 来 监听 使 用 者 的 联机 要 求 

[root@www ~]# nc -1 localhost 20000 & 

[root@www ~]# netstat -tjunp &#124; grep nc 


tcp 0 0 ::1:20000 Be LISTEN 5433/nc 
# 启动 一 个 port 20000 在 本 机 上 1! 


接 下 来 你 再 开 另 外 一 个 终端 机 来 看 看 ， 也 利用 nc 来 联机 服务 器 ， 并 且 输 入 一 些 指 令 看 看 喔 ! 


[root@www ~]# nc localhost 20000 
有 &1t ;== 这 里 可 以 开始 输入 字符 串 了 | 


此 时 ， 在 客户 端 我 们 可 以 打 入 一 些 字 ， 你 会 发 现在 服务 器 端 会 同时 出 现 你 输入 的 字眼 呐 ! 如 
果 你 同时 给 予 一 些 额外 的 参数 ， 例 如 利用 标准 输入 与 输出 (stdout, stdin) 的 话 ， 那 么 就 可 以 透 
过 这 个 联机 来 作 很 多 事情 了 |! 当然 nc 的 功能 不 只 如 此 ， 你 还 可 以 发 现 很 多 的 用 途 喔 ! 请 自 
行 到 你 主机 内 的 /usr/share/doc/nc-1.84/scripts/ 目录 下 看 看 这 些 script ， 有 帮助 的 呐 ! 不 

过 ， 如 果 你 需要 额外 的 编译 出 含有 GAPING_SECURITY_HOLE 功能 ， 以 使 两 端 联机 可 以 进 
行 额 外 指令 的 执行 时 ， 就 得 要 自行 下 载 原始 码 来 编译 了 ! 


5.6 重点 回顾 


e 修改 网 络 接口 的 硬件 相关 参数 ， 可 以 使 用 ifconfig 这 个 指令 ， 包 括 MTU 等 等 ; 

。 ifup 与 ifdown 其 实 只 是 script ， 在 使 用 时 ， 会 主动 去 /etc/sysconfig/network-scripts 下 找 
到 相对 应 的 装置 配置 文件 ， 才 能 够 正确 的 启动 与 关闭 ; 

e 路 由 的 修改 与 查阅 可 以 使 用 route 来 查询 ， 此 外 ，route 亦 可 进行 新 增 、 删 除 路 由 的 工 
作 ; 

e。 ip 指令 可 以 用 来 作为 整个 网 络 环境 的 设 定 ， 利 用 ip link 可 以 修改 『 网 络 装置 的 硬件 相关 
功能 1 ， 包括 MTU 与 MAC 等 等 ， 可 以 使 用 ip address 修改 TCP/IP 方面 的 参数 ， 包 括 
IP 以 及 网 域 参数 等 等 ，ip route 则 可 以 修改 路 由 ! 

。 ping 主要 是 透 过 ICMP 封包 来 进行 网 络 环境 的 检测 工作 ， 并 且 可 以 使 用 ping 来 查询 整体 
网 域 可 接受 最 大 的 MTU 值 ; 

。 侦察 每 个 节点 的 联机 状况 ， 可 以 使 用 traceroute 这 个 指令 来 追踪 ! 

e netstat 除了 可 以 观察 本 机 的 启动 接口 外 ， 还 可 以 观察 Unix socket 的 传统 插 模 接口 数 


据 ; 
e。 host 与 nslookup 预 设 都 是 透 过 /etc/resolv.conf 内 设 定 的 DNS 主机 来 进行 主机 名 与 IP 
的 查询 ; 


elftp 可 以 用 来 匿名 登录 远程 的 FTP 主机 ; 

。 links 主要 的 功能 是 『 浏 览 ] ， 包 括 本 机 上 HTML 语法 的 档案 ，wget 则 主要 在 用 来 下 载 
WWW 的 资料 ; 

e。 括 取 封包 以 分 析 封 包 的 流向 ， 可 使 用 tcpdump ， 至 于 图 形 接 口 的 wireshark 则 可 以 进行 
更 为 详细 的 解析 。 

。 透 过 tcpdump 分 析 三 向 交 担 ， 以 及 分 析 明 码 传 输 的 数据 ， 可 发 现 网 络 加 密 的 重要 性 。 

。 nc 可 用 来 取代 telnet 进行 菜 些 服务 堆 口 的 检测 工作 。 


5.7 本 划 习 题 


e。 暂时 将 你 的 eth0 这 张 网 络 卡 的 IP 设 定 为 192.168.1.100 ， 如 何 进行 ? ifconfig eth0 
192.168.1.100 

e。 我 要 增加 一 个 路 由 规则 ， 以 eth0 连接 192.168.100.100/24 这 个 网 域 ， 应 该 如 何 下 达 指 
令 ? route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0 

。 我 的 网 络 停 顿 的 很 厉害 ， 尤 其 是 连接 到 tw.yahoo.com 的 时 候 ， 那 么 我 应 该 如 何 检查 那个 
环节 出 了 问题 ? traceroute tw.yahoo.com 

。 我 发 现 我 的 Linux 主机 上 面 有 个 联机 很 怪异 ， 想 要 将 他 断 线 ， 应 该 如 何 进行 了 以 root 的 
身份 进行 『netstat -anp |moreJ 查 出 该 联机 的 PID， 然 后 以 『 kill -9 PID 」 踢 掉 该 联机 。 

。 你 如 何 知道 green.ev.ncku.edu.tw 这 部 主机 的 IP ?方法 很 多 ， 可 以 利用 host 
green.ev.ncku.edu.tw 或 dig green.ev.ncku.edu.tw 或 nslookup green.ev.ncku.edu.tw 等 
方法 找 出 

。 请 找 出 你 的 机 器 上 面 最 适当 的 MTU 应 该 是 多 少 ? 请 利用 『ping -c 3 -M do -s MTU 
yourlP J 找 出 你 的 IP 的 MTU 数值 。 事 实 上 ， 你 还 可 以 先 以 ip 设 定 网 络 卡 较 大 的 MTU 
后 ， 在 进行 上 述 的 动作 ， 才 能 够 找 出 网 域内 适合 的 MTU。 

e。 如 何在 终端 机 接口 上 面 进 行 NWW 浏览 ?了 又 该 如 何 下 载 WWW 上 面 提供 的 档案 ? 要 浏览 
可 以 使 用 links 或 lynx ， 至 于 要 下 载 则 使 用 MW 这 个 软件 。 

e 在 终端 机 接口 中 ， 如 何 连接 bbs.sayya.org 这 个 BBS ?利用 telnet bbs.sayya.org 即 可 连 
接 上 

。 请 自行 以 tcpdump 观察 本 机 端的 ssh 联机 时 ， 三 向 交 握 的 内 容 

e 请 自行 回答 : 为 何 使 用 明码 传输 的 网 络 联机 数据 较为 危险 ?并 自行 以 软件 将 封包 取出 ， 
并 与 同学 讨论 封包 的 信息 

。 请 自行 至 Internet 下 载 nc(netcat) 的 原始 码 ， 并 且 编 译 成 为 具有 
GAPING_SECURITY_HOLE 的 和 参数， 然后 建立 一 条 联机 使 用 -e /bin/bash 尝试 将 本 地 
端的 bash 丢 给 目的 端 执 行 (特殊 功能 ， 可 让 client 取得 来 自主 机 的 bash)。 


5.8 参考 数据 与 延伸 阅读 


。 注 1: wireshark 的 官网 网 址 : http://www.wireshark.org/ 


2002/07/31 : 第 一 次 完成 日 期 ! 2003/08/19 : 重新 编排 版 面 ， 加 入 jmcce 的 安装 以 及 MTU 
的 相关 说 明 2003/08/20 : 加 入 课 后 练习 去 2003/09/19 : 加 入 参考 用 解答 咯 ! 

2005/03/24 : route 的 指令 参数 写 错 了 | 已 经 订正 | 2006/07/24 : 将 昌 的 文章 移动 到 此 处 
2006/07/24 : 拿 掉 相 关 性 不 高 的 JMCCE 中 文 终端 机 ; 将 Windows 系统 的 MTU 检测 修改 方 
法 移 除 。 也 拿 掉 ncftp 的 说 明 2006/08/02 : 修改 了 很 多 部 分 ， 加 入 一 些 封包 侦 测 的 功能 程 

序 ，tcpdump, nc 等 指令 ! 2010/08/28 : 将 目的， 基于 CentOS 4.x 所 撰写 的 文章 放置 于 此 处 
2010/09/03 : 加 入 links 取消 |ynx，ethereal 改 成 wireshark，gaim 改 成 pidgin 了 ，nc 指令 
的 用 法 跟前 几 版 有 点 不 同 。2011/07/18 : 将 基于 CentOS 5.x 的 文章 移动 到 此 处 

2011/07/18 : 将 资料 修订 为 CentOS 6.x 的 模样 ! 不 过 tcpdump 的 变化 不 大 ， 部 分 数据 为 
CentOS 5.x 的 皂 取 示意 ! 


第 六 章 、Linux 网 络 侦 错 


最 近 更 新 日 期 : 2011/07/19 


虽然 我 们 在 第 四 章 谈 完 了 连 上 Internet 的 方法 ， en eo 
过 ， 网 络 是 很 复杂 的 东西 ， 鸟 哥 也 是 接触 了 Linux 这 么 多 年 之 后 才 对 网 络 与 通讯 协议 有 点 认 
识 而 已 ， 要 说 到 熟悉 与 了 解 ， 那 还 有 段 路 要 走 哩 。 总 之 ， 为 了 让 大 家 对 网 络 问题 的 解决 有 个 
方向 可 以 进行 处 理 ， 乌 哥 底下 列 出 一 些 常见 向 希望 对 大 家 有 点 帮助 ! 


e 6.1 无 法 联机 原因 分 析 
o 6.1.1 硬件 问题 : 网 络 线材 、 网 络 设备 、 网 络 布线 等 
o 6.1.2 软件 问题 : IP 参数 设 定 、 路 由 设 定 、 服 务 与 防火 墙 设 定 等 
o 6.1.3 问题 的 处 理 
e 6.2 处 理 流程 
o 6.2.1 步骤 一 : 网 络 卡 工作 确认 
o 6.2.2 步骤 二 : 局 域 网 络 内 各 项 连接 设备 检测 
6.2.3 步骤 三 : 取得 正确 的 IP 参数 
6.2.4 步骤 四 : 确认 路 由 表 的 规则 
6.2.5 步骤 五 : 主机 名 与 IP 查询 的 DNS 错误 
6.2.6 步骤 六 : Linux 的 NAT 服务 器 或 IP 分 享 器 出 问题 
6.2.7 步骤 七 : Internet 的 问题 
6.2.8 gk : 服务 器 的 问题 
。 6.3 本 章 习 是 
e 6.4 参考 数据 与 延伸 阅读 
e。 6.5 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=26155 
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6.1 无 法 联机 原因 分 析 


老 是 看 到 有 朋友 在 网 络 上 哀 啼 说 : 『 我 的 网 络 不 通 啊 1」 还 有 比较 奇怪 的 是 『 啊 ! 怎么 网 络 
时 通 时 不 通 」 之 类 的 问题 ， 这 类 的 问题 其 实 主要 可 以 归 类 为 硬件 问题 与 软件 设 定 问 题 。 硬 件 
的 问题 比较 麻烦 ， 因 为 需要 透 过 一 些 专门 的 装置 来 分 析 硬 件 ; 至 于 软件 方面 ， 绝 大 部 分 都 是 
设 定 错误 或 者 是 观念 错误 而 已 ， 比 较 好 处 理 虽 (第 四 章 谈 到 的 就 是 软件 问题 ) ! OK ! 我 们 先 来 
看 看 网 络 在 哪里 可 能 会 出 问题 吧 ! 


6.1.1 硬件 问题 : 网 络 线材 、 网 络 设备 、 网 络 布线 等 


在 第 二 章 的 网 络 基础 当中 我 们 曾 提 到 很 多 的 网 络 基础 概念 ， 以 及 一 些 简单 的 硬件 维护 问题 。 
以 一 个 简单 的 星 形 联 机 来 说 ， 我 们 可 以 假设 他 的 架构 如 同 下 图 所 示 : 


Internet 





Linux PC 3 图 6 .1-1 局 域 网 络 
的 联机 状态 示意 图 


在 上 面 的 图 示 当 中 ，"Linux PC3" 要 连 到 Internet 上 面 去 的 话 ， 需 要 透 过 网 络 线 、 交 换 器 、 
NAT 主机 (Linux 服务 器 或 IP 分 享 器 )、ADSL 调制 解 调 器 ， 附 挂 电话 线 路 、ISP 自己 的 机 房 
交换 器 ， 以 及 Internet 上 面 的 所 有 媒体 设备 (包括 路 由 器 、 网 桥 、 其 他 网 络 线 等 等 ) ; 那么 哪些 
地 方 可 能 会 出 问题 啊 ? 


1. 网 络 线材 的 问题 : 


在 上 面 的 图 示 中 ， 可 以 发 现 ， 其 实 网 络 接口 设备 中 ， 使 用 最 多 的 就 是 网 络 线 啦 | 要 注意 
网 络 线 分 成 并 行 线 与 跳 线 (RJ-45 接 头 )， 而 并 不 是 所 有 的 设备 都 支持 自动 分 辨 跳 线 与 并 行 
线 的 功能 的 ! 所 以 你 必须 要 了 解 到 你 的 设备 (Hub/Switch/ 调 制 解 调 器 ) 所 支持 的 网 络 线 ; 
另外 ， 如 果 你 的 网 络 线 有 经 过 门 颖 处 或 者 是 容易 四 折 处 ， 那 很 有 可 能 由 于 经 常 性 的 媚 折 
导致 电子 讯号 不 良 ， 所 以 你 需要 注意 一 下 这 些 事情 : 

o 网 络 线 被 截断 ; 

o 网 络 线 过 度 捏 曲 变形 造成 讯号 不 良 ; 

o 自制 网 络 接头 (如 RJ-45 跳 线 头 ) 品质 不 良 ; 


o 网 络 接头 与 设备 (如 Hub) 接触 不 良 ; 
2.， 网 络 卡 、Hub 及 Router 等 网 络 设备 的 问题 : 


另外 ， 还 有 一 些 网 络 设备 也 会 有 问题 ， 常 见 的 问题 如 下 : 


o 网 络 卡 不 稳定 、 质 量 不 佳 ， 或 者 与 整体 系统 的 兼容 度 不 佳 (网 络 卡 也 是 会 坏 的 ) ; 
@ 各 网 络 设备 的 接头 不 佳 ， 接 触 不 良 ， 造 成 讯号 衰减 (经 常 的 拔 插 就 有 可 能 发 生 ) ; 
o 由 于 网 络 设备 所 在 环境 恶劣 (例如 过 热 ) 导致 的 当 机 问题 ( 鸟 哥 经 常 遭 遇 到 switch 热 
当 的 问题 ) ; 
@ 各 网 络 设备 使 用 方法 不 良 ， 造 成 设备 功能 衰减 (Switch 常常 插 电 / 断 电 容易 坏 喔 ) ; 
3.， 设备 配置 的 规则 : 


在 各 个 设备 的 配置 上 是 有 一 定 的 规则 的 ， 而 最 容易 发 生 的 问题 就 是 太 长 的 网 络 线 会 造成 
讯号 的 衰减 ， 导致 网 络 联机 的 时 间 太 长 其 至 无 法 联机 。 我 们 曾 在 网 络 基 础 当中 谈 过 以 太 
网 络 最 长 的 支持 距离 (10BASE5 最 长 可 达 500m) ， 还 有 一 些 其 他 网 络 媒体 配置 的 问题 你 
必须 晓得 的 : 


o 使 用 错误 的 网 络 线 ， 最 常 发 生 在 并 行 线 与 跳 线 的 分 别 (现在 比较 少见 这 个 问题 了 ) ! 
o 架设 的 网 络 线 过 长 ， 导 致 讯号 豪 减 太 严 重 。 例 如 以 大 网 络 CAT5e 的 线 理论 限制 长 度 
大 概 是 在 90 公 尺 左右 (虽然 10BASE5 可 达 500m)， 若 两 个 设备 (Hub/ 主 机 之 间 ) 长 
度 大 于 90 公 尺 时 ， 自 然 就 容易 出 现 讯 号 发 生 问题 了 ! 
o 其 他 噪声 的 干扰 ， 最 常 发 生 在 网 络 线 或 者 网 络 设 备 旁 边 有 太 强 的 磁 波 ; 
o 局 域 网 络 上 面 ， 节 点 或 者 其 他 的 设备 太 多 ， 过 去 我 们 常 以 所 谓 的 543 原则 来 说 明 : 
( 注 1) 
m 5 个 网 段 (segment)。 所 谓 segment 就 在 物理 连接 上 最 接近 的 一 组 计算 机 ， 在 
一 个 BNC 网 段 里 面 最 多 只 能 接 30 台 计 算 机 , 且 网 线 总 长 不 能 超过 185m。 
@ 4 个 增益 器 (repeater)。 也 就 是 将 信号 放大 的 装置 。 
m 3 个 计算 机 群体 (population)。 这 个 不 好 理解 ， 也 就 是 说 前 面 所 说 的 5 个 
segment 之 中 ， 只 能 有 3 个 可 以 装 计 算 机 ， 其 它 两 个 不 行 。 


上 述 是 一 些 最 常见 的 硬件 问题 ， 当 然 啦 ， 有 的 时 候 是 设备 本 身 就 有 问题 ， 而 我 们 在 网 络 基础 
里 面谈 到 的 那个 很 重要 的 『 网 络 布线 4 的 情况 ， 也 是 造成 网 络 停顿 或 通顺 与 和 否 的 重要 原 
呐 ! 所 以 ， 硬 件 问题 的 判断 比较 困难 点 。 好 一 底下 我 们 再 来 聊 一 聊 软件 设 定 的 相关 问题 。 


6.1.2 软件 问题 : IP 参数 设 定 、 路 由 设 定 、 服 务 与 防火 墙 设 定 等 


所 谓 的 软件 问题 ， 绝 大 部 分 就 是 IP 参数 设 定 错误 啊 ， 路 由 不 对 啊 ， 还 有 DNS 的 IP 设 定 错误 
等 等 的 ， 这 些 问 题 都 是 属于 软件 设 定 啦 ! 只 要 将 设 定 改 一 改 ， 利 用 一 些 侦 测 软 件 查 一 查 ， 就 
知道 问题 出 在 哪里 了 |! 基本 的 问题 有 : 


网 络 卡 的 |P/netmask 设 定 错误 : 例如 : 同一 个 IP 在 同一 个 网 段 中 出 现 造 成 IP 冲突 、 子 
网 掩 码 设 定 错误 、 网 络 卡 的 驱动 程序 使 用 错误 、 网 络 卡 的 IRQ、1/O Address 的 设 定 冲突 


A 


寺 寺 ， 


路 由 的 问题 (route table) : 最 常见 的 就 是 预 设 路 由 (default gateway) 设 定 错误 了 ! 或 者 
是 路 由 接口 不 符 所 导致 的 问题 ， 使 得 数据 封包 没有 办 法 顺利 的 送出 去 。 


.通讯 协议 不 相符 : 最 党 发 生 在 不 同 的 操作 系统 之 间 的 通讯 传输 ， 例 如 早期 Windows 98 


与 Windows 2000 之 间 的 『 网 芳 」 若 要 达成 沟通 ， 则 Windows 98 必须 要 加 装 NetBEUI 
这 个 通讯 协议 才 行 。 又 例如 两 部 Linux 主机 要 透 过 NFS 通讯 协议 传输 数据 时 ， 两 边 都 得 
要 支持 rpcbind 这 个 启动 RPC 协议 的 程序 才 行 ! 这 些 通讯 协议 我 们 都 会 在 后 面 的 章节 分 
别 介绍 的 啦 |! 


.网 络 负荷 的 问题 (loading) : 当 同 时 有 大 量 的 数据 封包 涌 进 Server 或 者 是 Hub 或 者 是 同 


一 个 网 域 中 ， 就 有 可 能 造成 网 络 的 停顿 甚至 挂 点 ! 另外 ， 如 果 区 网 内 有 人 使 用 BT(P2P 
软件 ) 或 者 是 有 人 中 毒 导 致 蠕虫 充满 整个 区 网 ， 也 会 造成 网 络 的 停顿 问题 ; 


.其 他 问题 : 例如 : 一 些 port 被 防火 墙 挡 住 了 ， 造 成 无 法 执行 某 些 网 络 资源 ; 应 用 程序 本 


身 的 Bug 问题 ; 应 用 程序 中 用 户 的 网 络 设 定 错误 ; 以 及 不 同 的 操作 系统 的 兼容 性 问题 等 


村 “。 


6.1.3 问题 的 处 理 


既然 问题 发 生 了 ， 就 要 去 处 理 他 啊 | 那 如 何 处理 呢 ?3 以 上 面 的 星 形 联机 图 示 为 例 ， 把 握 两 个 
原则 : 


先 由 自身 的 环境 侦 测 起 ， 可 以 由 自身 PC 上 的 网 络 卡 查 起 ， 到 网 络 线 、 到 Hub 再 到 调制 
解 调 器 等 等 的 硬件 先 检查 完 。 在 这 个 步骤 当中 ， 最 好 用 的 软件 就 是 ping ， 而 你 最 好 能 有 
两 部 以 上 的 主机 来 进行 联机 的 测试 ; 


确定 硬件 没 问题 了 ， 再 来 思考 软件 的 设 定 问 题 ! 


实际 上 ， 如 果 网 络 不 通 时 ， 你 可 以 依 序 这 样 处 理 : 


1. 


了 解 问题 : 这 个 问题 是 刚刚 发 生 ? 还 是 因为 之 前 我 做 了 什么 动作 而 导致 无 法 联机 ? 例如 
之 前 鸟 哥 曾经 更 新 过 一 个 核心 ， 结 果 该 核心 并 不 能 驱动 鸟 哥 的 新 网 卡 ... 
确认 IP : 先 看 看 自己 的 网 卡 有 无 驱动 ? 能 否 取 得 正确 的 IP 相关 参数 来 联机 ? 


3， 确 认 区 网 联机 : 利用 ping 来 沟通 两 部 主机 (路 由 器 或 IP 分 享 器 )， 确 定 网 络 线 与 中 继 的 


hub/switch 工作 正常 ; 

确认 对 外 联机 : 看 主机 或 |P 分 享 器 能 否 依据 第 四 章 的 方法 顺利 取得 IP 参数， 并 以 ping 
的 方法 确定 对 外 联机 是 可 以 成 功 的 (例如 ping 168.95.1.1) ; 

确认 DNS 查询 : 利用 nslookup 或 host 或 dig 检查 www.google.com 看 看 ; 

确认 Internet 节点 : 可 以 利用 traceroute 检查 各 节点 是 否 没 问题 ? 


.防火 墙 或 权限 的 问题 : 


- 


.确认 对 方 服务 器 正常 服务 : 是 否 对 方 服务 器 忙 线 中 ?或 他 的 机 器 挂 了 ? 
.确认 我 方 服务 器 : 如 果 是 别人 连 不 上 我 这 部 主机 ， 那 检查 主机 某 些 服务 正确 启动 否 ? 可 
利用 netstat 检查 。 或 是 否 某 时 和 全 全 市 ee dh 有 定好， 例如 SELinux 这 项 机 制 ; 

是 否 由 on 错误 所 致 ? 是 否 由 于 你 的 机 器 有 防火 墙 忘 记 启 
用 可 联机 的 者 口 所 致 ?这 个 可 以 I 来 处 理 ! 


透 过 这 些 处 理 动作 后 ， 一 般 来 说 ， 应 该 都 可 以 解决 你 无 法 上 网 的 问题 了 ! 当然 啦 ， 如 果 是 硬 
件 的 问题 ， 那 么 乌 哥 也 无 法 帮 你 ， 你 可 能 最 需要 的 是 .…… 『 送 修 吧 孩子 1 1 


6.2 处 理 流 程 


既然 知道 上 面 已 经 谈 到 的 几 个 小 重点 了 ， 接 下 来 当然 是 一 个 一 个 的 给 他 处 理 掉 啊 1 底下 我 们 
就 得 要 一 步 一 脚印 的 开始 检查 的 流程 啊 ! 


6.2.1 步骤 一 : 网 络 卡 工作 确认 


其 实 ， 网 络 一 出 问题 的 时 候 ， 你 应 该 从 自己 可 以 检查 的 地 方 检查 起 ， 因 此 ， 最 重要 的 地 方 就 
是 检查 你 的 网 络 卡 是 否 有 工作 的 问题 啦 ! 检查 网 络 卡 是 否 正常 工作 的 方法 如 下 : 


1， 确定 网 络 卡 已 经 驱动 成 功 : 如 果 网 络 卡 没 有 驱动 成 功 ， 其 他 的 ， 免 谈 ! 所 以 你 当然 需要 
驱动 你 的 网 络 卡 才 行 ! 确认 网 络 卡 是 否 被 驱动 ， 可 以 利用 lspci 以 及 dmesg 这 两 个 吹 吹 
来 查询 相关 的 设备 与 模块 的 对 应 。 详 情 请 参考 : 第 四 章 的 相关 说 明 。 再 次 强调 ， 捉 不 到 
网 卡 驱 动 程序 ， 除 了 自己 编译 之 外 ， 再 购买 一 张 便宜 的 网 卡 来 应 付 着 用 ， 是 不 错 的 想 
法 ! 


2， 确 定 可 以 手动 直接 建立 IP 参数 : 在 顺利 的 加 载 网 络 卡 的 模块 ， 并 且 『 取 得 网 络 卡 的 代 
号 4 之后， 我 们 可 以 利用 ifconfig 或 ip 来 直接 给 予 该 网 络 卡 一 个 网 络 地 址 试看 看 ! 看 能 
否 给 予 IP 设 定 呢 ? 例如 : 


[root@www ~]# ifconfig etho0 192.168.1.100 


来 直接 建立 该 网 络 卡 的 IP ， 然 后 直接 输入 ifconfig 看 能 否 查阅 到 刚刚 设 定 好 的 参数 即 
可 。 如 果 可 以 建立 起 该 PP， 就 以 ping 来 检测 看 看 : 


[root@www ~]# ping 192.168.1.100 


如 果 有 响应 的 话 ， 那 表示 这 个 网 卡 的 设 定 应 该 是 没有 问题 了 |! 再 来 则 是 开始 检测 一 下 局 
域 网 络 内 的 各 个 连接 硬件 啦 1 


6.2.2 步骤 二 : 局 域 网 络 内 各 项 连接 设备 检测 


在 确认 完了 最 重要 的 网 络 卡 设 定之 后 ， 并 且 确 定 网 络 卡 是 正常 的 之 后 ， 再 接着 下 来 则 
网 络 内 的 网 络 连接 情况 了 ! 假设 你 是 按照 图 6.1-1 所 设 定 的 星 形 联机 局 域 网 络 架构 ， 那 么 
必须 要 知道 整个 『 网 域 」 的 概念 ! 


.关于 网 域 的 概念 : 能 否 成 功 的 架设 出 区 网 ， 与 网 域 的 概念 有 关 |! 所 以 ， 你 要 知道 所 谓 的 


192.168.1.0/24 这 种 网 域 的 表达 方式 所 代表 的 意义 ， 且 子 网 掩 码 (Netmask) 的 意义 也 得 
了 解 。 如 果 忘 记 了 ， 请 回去 第 二 章 网 络 基础 再 翻 一 翻 。 


.关于 Gateway 与 DNS 的 设 定 : ee 与 DNS 最 容易 被 搞 混 一 这 两 个 并 非 是 填写 你 


的 Linux 主机 的 IP 喔 ! 应 该 是 要 填写 IP 分 享 器 (或 NAT 主机 ) 的 IP 在 Gateway 中 ， 需 
写 168.95.1.1 在 DNS 的 IP 设 ! 不 能 够 搞 错 啊 ! 


.关于 Windows 端的 工作 组 与 计算 机 名 称 : 假如 你 还 需要 资源 共享 ， 那 么 你 就 必须 在 


Windows 系统 中 开放 档案 分 享 ， es 入 定 相 同 ， 但 『 计 
算 机 名 称 」 则 不 能 相同 ! 不 过 个 只 与 网 芳 及 SAMBA 服务 器 有 关 。 


假设 你 的 区 网 内 所 有 的 主机 IP 都 设 定 正确 了 ， 那 么 接 下 来 你 就 可 以 使 用 ping 来 测试 两 部 区 网 
内 主机 的 联机 ， 这 个 联机 的 动作 可 以 让 你 测试 两 部 主机 间 的 各 项 设备 ， 包 括 网 络 线 、 
Hub/Switch 等 等 的 吃 咯 ! 如 果 无 法 测试 成 功 ， 那 就 请 了 解 一 下 : 


1. 


2. 


IP 参数 是 否 设 定 正确 : 再 次 强调 ， 先 决定 IP/netmask 是 对 的 ! 鸟 哥 在 上 课 的 时 候 常 党 
发 现 同学 无 法 连 到 我 的 主机 上 ， 一 经 使 用 ifconfig 才 发 现 他 们 与 我 的 IP 不 在 同一 个 网 段 
内 ， 就 是 会 有 这 样 的 情况 发 生 啊 ! 唉 ~ 


联机 的 线材 问题 : 包括 我 们 前 面 提 到 的 网 络 线 本 身 折 损 、 过 度 缠绕 造成 的 讯号 衰减 问题 
等 等 ， 另 外 ， a 器 ， 由 于 没有 Auto 
MDI/MDIX 的 功能 ， 所 以 无 法 自动 的 分 辨 跳 线 与 否 ， 那 么 人 ， 也 就 

无 法 接 通 啦 ! 另外 ， 早 期 我 们 常常 会 说 ， 最 简单 判断 每 部 主机 是 否 顺 利 连 接 到 
Hub/Switch 可 以 透 过 Switch 上 的 灯 号 来 判断 ， 不 过 ， 由 于 有 时 候 网 络 线 本 身 讯 
号 不 良 ， 虽 然 灯 号 还 是 会 亮 ， 不 过 就 是 无 法 连接 到 Switch 的 情况 ( 乌 可 自己 就 曾 发 生 过 
啊 )， 此 时 ， ere 一 条 OK 的 网 络 线 来 测试 看 看 吧 ! 


和 Hub/Switch 本 身 出 问题 : 有 一 次 鸟 哥 无 法 在 外 部 连接 到 鸟 哥 的 主机 ， 怀 疑 是 挂 点 

， 结 果 冲 到 主机 所 在 办 公 室 察看 ， 呈 ! SH ! 那 怎 么 会 无 法 联机 呢 ? 原因 
是 ... 室 内 环境 通风 不 良 ， 加 上 Switch 所 在 处 温度 过 高 ， 加 上 那 部 上 日 的 switch 『 刚 好 J 
风扇 坏 了 ， 哈 ! 就 这 样 『 switch 当 机 」 在 重新 启动 switch ( 拔 掉 再 插 上 电源 线 ) 后 就 正 
常 了 。 所 以 嘿 ， 很 多 情况 都 是 会 发 生 的 ， 而 局 域 网 络 内 的 环境 也 很 容易 影响 到 联机 质量 
啊 | 


确定 自己 主机 的 IP 与 网 卡 没有 问题 ， ed 过 ping 也 测试 过 没有 问题 ， 接 下 来 就 是 
要 『 取 得 可 以 对 外 联机 的 IP 参数 3 啦 ! 这 个 重要 | 


6.2.3 步骤 三 : 取得 正确 的 IP 参数 


什么 叫 『 取 得 正确 的 IP 参数 」 啊 ?还 记得 我 们 谈 过 如 果 要 顺利 的 连接 上 Internet 的 话 ， 必须 
要 可 以 跟 public IP 进行 沟通 才 行 ， 而 与 public IP 取得 沟通 的 方法 ， 在 台湾 比较 常见 的 有 
ADSL, Cable modem, 学 术 网 络 , 电话 拨 接 等 等 。 在 CentOS 当中 ， 我 们 可 以 透 过 修改 
/etc/sysconfig/network-scripts/ifcfg-eth0， 或 者 是 利用 rp-pppoe 来 进行 拨 接 ， 无 论 如 何 ， 你 
就 是 得 要 连接 到 某 个 ISP 去 就 是 了 ~ 


在 你 确认 所 有 的 区 网 没有 问题 之 后 ， 参 考 一 下 第 四 章 的 介绍 ， 连 上 之 后 ， 立 即 以 ifconfig 看 看 
有 没有 捉 到 正确 的 IP 啊 ? 在 台湾 如 果 使 用 ADSL 联机 的 话 ， 你 应 该 可 以 顺利 的 取得 一 组 正确 
的 Public IP 参数 的 |! 


Tips: 曾 有 国外 的 华人 朋友 来 信 说 到 ， 他 们 使 用 ADSL 拨 接 之 后 竞 然 取得 一 组 Private IP ， 富 
他 们 没有 办 法 架 站 ! 他 们 想 请 问 这 样 的 情况 是 否 合 理 。 如 果 你 熟悉 路 由 相关 的 概念 之 后 ， 当 
然 会 知道 : 『 这 当然 合理 ! 」， 因 为 你 取得 的 IP 只 是 为 了 要 连接 到 |SP 去 而 已 ， 而 |SP 与 
你 的 主机 当然 可 以 透 过 Private IP 来 联机 啊 ! 如 果 是 这 样 的 话 ， 那 么 你 就 肯定 无 法 架 站 了 ! 


另外 ， 最 常 发 现 无 法 顺利 取得 IP 的 错误 就 是 TBOOTPROTOJ 这 个 设 定 值 设 定 错 了 | 因为 
static 与 dhcp 协议 所 产生 的 IP 要 求 是 不 一 样 的 啊 ! 还 记得 吧 ! 要 特别 留 在 ifcfg-eth0 里 面 的 
设 定 参数 喔 | 另外 ， 如 果 你 是 使 用 ADSL 拨 接 的 ， 但 是 老 是 无 法 拨 接 成 功 ， 那 么 建议 你 可 以 
这 样 试 看 看 : 


e。 将 ADSL 的 调制 解 调 器 整个 关机 ， 将 Switch/Hub 也 关 掉 电源 ; 

e。 静 待 十 分 钟 ， 等 这 些 设备 比较 『 凉 快 」 一 点 后 ， 再 重新 插 上 电源 ; 

。 将 Linux 连接 到 ADSL 的 那 块 网 卡 (假设 为 eth0) 在 ifcfg-eth0 内 ，『ONBOOTJ 设 定 为 
no， 重 新 启动 网 络 (/etc/init.d/network restart)， 然 后 再 执行 adsl-start 

e 如 果 还 是 无 法 拨 接 成 功 ， 并 且 你 已 经 确认 内 部 网 域 没 有 问题 ， 那 请 中 华电 信 的 工程 人 员 
来 帮忙 你 处 理 吧 ! 


因为 很 多 时 候 都 是 由 于 网 络 媒体 过 热 ， 也 有 可 能 主机 内 部 的 一 些 网 络 参数 有 点 问题 ， 所 以 ， 
干脆 就 不 要 启动 网 卡 ， 让 adsl-start 自动 去 启动 网 卡 即 可 ! 如 果 顺 利 取 得 IP 后 ， 却 还 是 无 法 
顺利 连 到 Internet 上 面 时 ， 你 觉得 还 有 哪些 地 方 需要 处 理 的 呢 ? 


Tips: 为 了 避免 switch 以 及 ADSL 调制 解 调 器 热 当 ， 乌 哥 以 及 一 些 重 度 网 络 用 户 的 朋友 ， 就 
买 了 旧 上 型 小 电扇 ， 配 合 定时 器 (timer) 来 定时 的 向 这 两 个 设备 吹风 ~ 为 啥 需要 定时 器 ? 因为 
担心 电 风扇 一 直 开 着 会 烧 掉 .… 


6.2.4 步骤 四 : 确认 路 由 表 的 规则 


如 果 你 已 经 顺利 取得 正确 的 IP 参数 的 话 ， 那 么 接 下 来 就 是 测试 一 下 是 否 可 以 连 上 Internet 
啊 ! 鸟 哥 建议 你 可 以 尝试 使 用 ping 来 连连 看 Hinet 的 DNS 主机 ， 也 就 是 168.95.1.1 那 部 机 


器 啦 | 


[root@www ~]# ping -c 3 168.95.1.1 


如 果 有 响应 ， 那 就 表示 你 的 网 络 『 基 本 上 已 经 没有 问题 ， 可 以 连 到 Internet 了 ! 4」 ， 那 如 果 
没有 响应 呢 ? 明明 取得 了 正确 的 IP 却 无 法 连接 到 外 部 的 主机 ， 肯 定 有 和 鬼 ! 呵呵 | 没 错 1 还 记 
得 我 们 在 网 域内 资料 的 传输 可 以 直接 透 过 MAC 来 传送 ， 但 如 果 不 在 区 网 内 的 数据 ， 则 需要 
透 过 路 由 ， 尤 其 是 那个 预 设 路 由 (default route) 来 帮忙 转 递 封包 吧 ! 所 以 说 ， 如果 你 的 
public IP 无 法 连接 到 外 部 (例如 168.95.1.1) ， 可 能 的 问题 就 出 在 路 由 与 防火 墙 上 面 了 。 假 设 
你 没有 局 动 防火 墙 ， 那 问题 就 缩小 到 剩 下 路 由 鹃 ~ 那 路 由 的 问题 如 何 检查 ?就 用 route -n 来 
检查 啊 ! 


例题 : 假设 有 个 使 用 ADSL 氢 接 的 Linux 主机 ， 他 的 路 由 表 如 下 ， 你 觉得 出 了 什么 问题 ? 


Destination Gateway Genmask Flags Metric Ref Use Iface 
59.104.200.1 0.0.0.0 255.255.255.255 UH 0 0 © pppo 
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 9 etho 
169.254.0.0 0.0.0.0 25582558050 U 0 0 9 etho 
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 9 lo 

0.0.0.0 19251080102 0.0.0.0 UG 0 0 9 etho 


答 : 仔细 看 到 上 面 的 路 由 输出 ， 第 一 条 是 ppp0 产生 的 public IP 接口 ， 第 二 条 是 eth0 的 内 部 
网 域 接口 ， 再 看 到 最 后 一 条 的 0.0.0.0/0.0.0.0 这 个 预 设 路 由 ， 竞 然 是 内 部 网 域 的 eth0 为 

gateway ?不 合理 ， 最 大 的 问题 应 该 是 出 在 ifcfg-eth0 里 面 不 小 心 设 定 了 
TGATEWAY=192.168.1.24 所 致 ， 解 决 的 方法 为 : 


1. 取消 ifcfg-eth0 内 GATEWAY=192.168.1.2 那 一 行 ，( 该 行 亦 可 能 出 现在 
/etc/sysconfig/network 内 ) 

2.， 重 新 启动 网 络 /etc/init.d/network restart 

3. 重新 进行 拨 接 : adsl-stop; adsl-start 


另外 一 个 可 能 发 生 的 情况 ， 就 是 : 『 忘 记 设 定 预 设 路 由 4] 啦 ! 例如 使 用 ifconfig 手动 重新 设 定 
过 网 络 卡 的 IP 之 后 ， 其 实 路 由 规则 是 会 被 更 新 的 ， 所 以 预 设 路 由 可 能 就 会 不 见 了 ! 那个 时 候 
你 就 得 要 利用 route add 来 增加 预 设 路 由 鹃 ! 


6.2.5 步骤 五 : 主机 名 与 IP 查询 的 DNS 错误 


如 果 你 发 现 可 以 ping 到 168.95.1.1 这 个 Internet 上 面 的 主机 ， 却 无 法 使 用 浏览 器 在 网 址 列 浏 
览 http://www.google.com 的 话 ， 那 肯定 99% 以 上 问题 是 来 自 于 DNS 解析 的 困扰 ! 解决 的 方 
法 就 是 直接 到 /etc/resolv.conf 去 看 看 设 定 值 对 不 对 啊 | 一般 常 见 的 内 容 是 这 样 的 : 


[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


最 常见 的 错误 是 『 那 个 nameserver 的 拼 字 写 错 了 ! 」 站 是 最 常见 的 问题 ~ 另外 ， 如 果 client 
端 是 Windows 系统 呢 ? 常常 初学 者 会 摘 错 的 地 方 就 是 在 windows 的 设 定 了 ! 要 注意 : 
Windows 端的 DNS 设 定 与 主机 端 /etc/resolv.conf 的 内 容 相同 即 可 ! 很 多 初学 者 都 以 为 
TCP/IP 内 的 DNS 主机 是 填 上 自己 的 Linux 主机 ， 这 是 不 对 的 (除非 你 自己 的 Linux 上 面 有 
DNS 服务 ) ! 你 只 要 填 上 你 的 |SP 给 你 的 DNS 主机 IP 位 置 就 可 以 了 


另外 ， 每 一 部 主机 都 会 有 主机 名 (hostname) ， 预 设 的 主机 名 会 是 localhost ， 这 个 主机 名 会 
有 一 个 127.0.0.1 的 IP 对 应 在 /etc/hosts 当中 。 如 果 你 曾经 修改 过 你 的 主机 名 ， 该 主机 名 却 
无 法 有 一 个 正确 IP 的 对 应 ， 那 么 你 的 主机 在 开机 时 ， 可 能 会 有 好 几 十 分 钟 的 延迟 。 所 以 

史 ， 那 个 /etc/hosts 与 你 的 主机 名 对 应 ， 对 于 内 部 私有 网 域 来 说 ， 是 相当 重要 的 设 定 项 目 呢 | 


6.2.6 步骤 六 : Linux 的 NAT 服务 器 或 IP 分 享 器 出 问题 


NAT 服务 器 最 简单 的 功能 就 是 IP 分 享 器 啦 | NAT 主机 一 定 是 部 路 由 器 ， 所 以 你 必须 要 在 
Linux 上 面 观察 好 正确 的 路 由 信息 。 否 则 肯定 有 问题 。 另 外 ，NAT 主机 上 面 的 防火 墙 设 定 是 
否 合理 ? |P 分 享 器 上 面 是 否 有 设 定 抵挡 的 机 制 等 等 ， 都 会 影响 到 对 外 联机 是 否 能 够 成 功 的 问 
题 点 。 关于 NAT 与 防火 墙 我 们 会 在 后 续 的 章节 继续 介绍 的 啦 ! 


6.2.7 步骤 七 : Internet 的 问题 


Internet 也 会 出 问题 喔 ! 当然 啦 一 没有 任何 东西 是 不 会 出 问题 的 ! 举例 来 说 ， 好几 年 前 人 台湾 西 
岸 因为 施工 的 关系 ， 导 致 南北 网 络 骨 干 绕 线 被 挖 断 ， 结 果 导 致 整个 Internet 流量 的 大 塞车 |! 
这 就 是 Internet 的 问题 一 还 有 ， 数 年 前 Study Area 网 站 放置 的 地 点 由 于 路 由 器 设 定 出 了 点 差 
错 ， 结 果 导 致 连接 速度 的 缓慢 。 这 都 不 是 主机 本 身 出 问题 ， 而 是 Internet 上 面 某 个 节点 出 了 
状况 。 想 要 确认 是 否 问 题 来 自 Internet 的 话 ， 就 使 用 traceroute 吧 ! 查 察看 问题 是 来 自 那 个 
地 方 再 说 | 


6.2.8 步骤 和 : 服务 器 的 问题 


如 果 上 述 的 处 理 都 OK ， 却 无 法 登入 某 部 主机 时 ， 我 想 ， 最 大 的 问题 就 是 出 现在 主机 的 设 定 
啦 1 这 包括 有 : 


。 服务 器 并 没有 开放 该 项 服务 : 例如 主机 关闭 了 telnet ， 那 你 使 用 telnet 去 联机 ， 是 无 法 
连接 上 的 啦 | 

e 主机 的 权限 设 定 错误 : 例如 你 将 某 个 目录 设 定 为 drwX------ ， 该 目录 拥有 者 为 root ， 你 
却 将 该 目录 开放 给 WWW 来 浏览 ， 由 于 WWW 无 法 进入 该 目录 ， 所 以 当然 无 法 正确 的 给 
客户 端 浏览 啊 ! 这 是 最 典型 的 权限 设 定 错误 的 情况 啊 ! 

。 安全 机 制 设 定 错误 : 例如 SELinux 是 用 来 更 细微 控 管 主机 存 取 的 一 种 核心 机 制 ， 结 果 你 
启动 的 是 系统 原先 不 支持 的 类 型 ， 那 么 SELinux 反而 可 能 会 抵挡 该 服务 的 提供 ! 而 其 他 
例如 /etc/hosts.deny, PAM 模块 等 等 ， 都 可 能 造成 使 用 者 无 法 登入 的 问题 ! 这 就 不 是 网 
络 问 题 ， 而 是 主机 造成 联机 无 法 成 功 |! 

e 防火 墙 问题 ; 防火 墙 设 定 错误 也 是 一 个 很 常见 的 问题 ， 你 可 以 使 用 tcpdump 来 追踪 封包 

的 流向 ， 以 顺利 的 了 解 防火 墙 是 否 设 定 错误 。 


基本 上 ， 一 个 网 络 环境 的 检测 工作 可 不 是 三 言 两 语 就 讲 的 完 的 ~ 而 且 常常 牵涉 到 很 多 经 验 的 
问题 ~ 请 你 常常 到 一 些 讲座 的 场合 去 听 听 看 大 家 的 经 验 ， 去 google 看 看 人 家 的 解决 方法 ， 
都 有 助 于 让 你 更 轻 多 的 解决 网 络 问 题 的 喔 ! ^ 人 1! 乌 可 也 将 上 述 的 动作 规划 成 一 个 流程 图 ， 参 
考 看 看 : 










察看 权限 
SElinux 防 火 墙 





网 卡 是 否 运作 | “| 编译 驱动 程序 
lspci, dmesg 或 购买 新 网 卡 
下 参数 正确 天 .| vim ifcfe-eth0 

i1fconfig network restart 


区 网 线路 与 设 
备 是 否 正常 
ping 


察看 各 服务 ”| 服务 设 定 值 各 
netstat -tulp 相关 登录 检 








+ 
察看 网络 节点 i , [能 竹 待 … 


traceroute 



















路 由 信息 是 察看 主机 名 






察看 DNS 状态 








下 . hos tname 
否 正确 dig, host | 
route -上 ping hostname 





/etc /network 
/ete/resolv.conft /ete/hosts 
reboot 






vim ifcfe-eth0 
network restart 





图 6.2-1、 网 络 
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6.3 本 草 习 题 


e 以 图 6.1-1 的 星 形 联机 为 例 ， 你 的 Linux PC 3 可 以 ping 到 Windows PC1 ， 但 是 反 过 
来 ，Windows PC1 无 法 ping 到 Linux PC3， 你 觉得 原因 可 能 发 生 在 哪里 ? 由 于 两 边 已 经 
可 以 用 ping 进行 联机 ， 所 以 硬件 应 该 是 没有 问题 了 。 而 Linux --> Windows 没 问 题 ， 
Windows --> Linux 有 问题 ， 可 能 是 由 于 Linux 主机 上 面 的 防火 墙 所 致 。 可 以 使 用 
iptables -L -n 去 查阅 一 下 防火 墙 的 设 定 规则 。 详 细 的 防火 墙 请 参考 后 续 的 章节 。 


6.4 参考 数据 与 延伸 阅读 


e 注 1 : 网 中 人 的 网 络 架构 简介 : http://www.study-area.org/network/network_archi.htm 


2002/07/31 : 第 一 次 完成 日 期 ! 2003/08/19 : 重新 修订 一 些 数据 ， 与 前 面 的 章节 比较 好 配 
合 ! 2006/08/04 : 将 四 的 文章 移动 到 此 处 2010/09/03 : 将 昌 的 基于 CentOS 4.x 所 撰写 的 版 
本 移动 到 此 处 2010/09/06 : 花 了 一 些 时 间 ， 加 上 一 张 流程 图 分 析 ! 参考 看 看 吧 | 

2011/07/19 : 将 版 本 改 为 CentOS 6.x， 原 本 的 CentOS 5.x 放 于 此 处 


第 二 部 分 : 主机 的 简 匈 资 安 防护 措施 


有 很 多 团体 做 过 许多 操作 系统 安全 性 侦 测 的 研究 ， 他 们 发 现 一 部 没有 经 过 更 新 与 保护 的 
Linux/Windows 主机 (不 论 是 一 般 个 人 计算 机 还 是 服务 器 )， 只 要 一 接 上 Internet 几乎 可 以 在 数 
小 时 以 内 就 被 入 侵 或 被 当成 跳板 ! 您 瞧 瞧 ， 这 是 啥 世界 啊 ~ 所 以 说 ， 要 好 好 的 保护 好 您 自己 
sors 主机 才 行 喔 ! 那 应 该 要 如 何 保护 你 的 服务 器 主机 呢 ? 基本 上 ， 你 最 要 知道 的 是 你 的 

务 器 开 了 多 少 网 络 服 务 ， 而 这 些 服务 会 启动 什么 堆 口 ? 根据 这 层 关系 来 关闭 一 些 不 必要 的 
网 。 再 者 ， 利 用 在 线 更 新 系统 让 你 的 Linux 随时 保持 在 最 新 的 软件 的 状态 ， 这 个 小 动 
作 可 以 预防 绝 大 部 分 的 入 侵 攻击 ， 可 以 说 是 最 重要 的 一 步 了 | 最 后 才 是 架设 基础 防火 墙 。 


因为 Linux 的 功能 太 强 了 ， 如 果 你 不 好 好 的 保护 好 你 的 主机 ， 要 是 被 入 侵 并 且 被 当成 跳板 ， 
ee 官司 的 ! 不 要 小 看 这 层 动作 喔 ! 虽然 被 入 侵 后 只 要 将 旧 系 统 移 除 并 且 重 灌 

， 你 的 服务 器 主机 就 能 够 『 短 暂 」 的 恢复 正常 ， 不 过 如 果 您 的 一 些 操 作 习 惯 不 改 的 话 ， 呵 
呵 ， 并 不 是 重 灌 就 能 够 让 你 的 服务 器 主机 活 的 好 好 的 喔 ! 所 以 嚼 ， 我 们 在 架 站 之 前 ， 基 本 的 
网 络 防备 措施 还 是 得 来 了 解 一 下 ， 免 得 经 常 要 重 灌 、 重 灌 、 重 灌 .…. 


向 可 zl ， 认 朗 芝 ， 服 和 尔 绎 如 这 入 第 三 皮 
马 可 的 LinuX 和 私房 及 : 服务 条 宁 人 届 局 第 三 版 
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最 近 更 新 日 期 : 2011/07/21 


通过 第 一 篇 的 锻炼 之 后 ， 现 在 你 应 该 已 经 利用 Linux 连 上 Internet 了 。 但 是 你 的 Linux 现在 下 
怕 还 是 不 怎么 安全 的 。 因 此， 在 开始 服务 器 设 定之 前 ， 我 们 必须 要 让 你 的 系统 强壮 些 ! 以 避 

免 被 恶意 的 cracker 所 攻击 啊 ! 在 这 一 章 当 中 ， 我们 会 介绍 封包 的 流向 ， 然 后 根据 该 流向 来 

制订 系统 强化 的 流程 ! 包括 在 线 自动 升级 、 服 务 管控 以 及 SELinux 等 等 。 现 在 就 来 了 解 了 解 

虽 |! 


e 7.1 网 络 封包 联机 进入 主机 的 流程 
o 7.1.1 封包 进入 主机 的 流程 
o 7.1.2 常见 的 攻击 手法 与 相关 保护 : 猜 密 码 , 漏洞 , 社交 工程 , 程序 误 用 , rootkit, DDoS 
o 7.1.3 主机 能 作 的 保护 : 软件 更 新 、 减 少 网 络 服 务 、 启 动 SELinux 
e 7.2 网 络 自动 升级 软件 
o 7.2.1 如 何 进行 软件 升级 
o 7.2.2 CentOS 的 yum 软件 更 新 、 上 映像 站 使 用 的 原理 
o。 7.2.3 yum 的 使 用 : 安装 , 软件 群 组 , 全 系统 更 新 
o 7.2.4 挑选 特定 的 映射 站 : 修改 yum 配置 文件 与 清除 yum 快 取 
。 7.3 限制 联机 埠 口 (port) 
o 7.3.1 什么 是 port 
o 7.3.2 者 口 的 观察 : netstat, nmap 
o 7.3.3 境 口 与 服务 的 启动 /关闭 及 开机 时 状态 设 定 ; 服务 类 型 , 开机 启动 
o 7.3.4 安全 性 考虑 -关闭 网 络 服务 端口 
。 7.4 SELinux 管理 原则 
o 7.4.1 SELinux 的 运作 模式 : 安全 性 本 文 , domain/type 
7.4.2 SELinux 的 启动 、 关 闭 与 观察 : getenforce, setenforce 
7.4.3 SELinux type 的 修改 : chcon, restorecon, semanage 
7.4.4 SELinux 政策 内 的 规则 布尔 值 修订 : seinfo, sesearch, getsebool, setsebool 
7.4.5 SELinux 登录 文件 记录 所 需 服务 -以 httpd 为 范例 : setroubleshoot, sealert 
e 7.5 被 攻击 后 的 主机 修复 工作 
o 7.5.1 网 管 人 员 应 具备 的 技能 
o 7.5.2 主机 受 攻 击 后 复原 工作 流程 
e 7.6 重点 回顾 
。 7.7 本 章 习题 
e 7.8 参考 数据 与 延伸 阅读 
e 7.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=114062 
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7.1 网 络 封包 联机 进入 主机 的 流程 


在 这 一 章 当中 ， 我 们 要 讨论 的 是 ， 当 来 自 一 个 网 络 上 的 联机 要 求 想 进 入 我 们 的 主机 时 ， 

网 络 封包 在 进入 主机 实际 取得 Eee 
原来 系统 操作 的 基本 概念 是 如 此 的 重要 ! 而 你 也 才 会 了 解 要 如 何 保 护 你 的 主机 安全 呐 ! 闲话 
少 说 ， 咱 们 赶紧 来 瞧 一 瞧 先 。 


7.1.1 封包 进入 主机 的 流程 


在 第 一 章 我 们 就 谈 过 网 络 联机 的 流程 ， 当 时 举 的 例子 是 希望 你 可 以 理解 为 啥 架设 服务 和 
了 解 操 作 系 统 的 基本 观念 。 在 这 一 章 当 中 ， 我 们 要 将 该 流程 更 细致 化 说 明 ， 因 为 ， 透 过 这 个 
流程 分 析 ， 人 啥 我 们 的 主机 需要 进行 过 一 些 防 护 之 后 ， 系 统 才 能 够 比较 强 半 。 此 
外 ， 透 过 第 二 章 的 网 络 概念 解释 后 ， ee 网 络 是 双向 的 ， 服 务 器 与 客户 端 都 得 要 有 
IP:port 才能 够 让 彼此 的 软件 互相 沟通 。 那 么 现在 ， 假 设 你 的 主机 是 WWW 服务 器 ， 透 过 底下 
的 图 标 ， 网 络 封 包 如 何 进 入 你 ee 
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和 1 图 7.1-1、 网 络 封包 


进入 主机 的 流程 

1， 经 过 防火 墙 的 分 析 : 
Linux 系统 有 内 建 的 防火 墙 机 制 ， EO 
行 。 预 设 的 Linux 防火 墙 就 有 两 个 机 制 ， 这 两 个 机 制 都 是 独立 存在 的 ， 因 此 我 们 预 设 就 


有 两 层 防火 墙 喔 。 第 一 层 是 封包 过 滤 式 的 netfilter 防火 墙 ， 另 一 个 则 是 透 过 软件 控 管 的 
TCP Wrappers 防火 墙 。 


o 封包 过 滤 防 火 墙 : IP Filtering 或 Net Filter 要 进入 Linux 本 机 的 封包 都 会 先 通过 
Linux 核心 的 预 设防 火 墙 ， 就 是 称 为 netfilter 的 吹 吹 ， 简 单 的 说 ， 就 是 iptables 这 个 
软件 所 提供 的 防火 墙 功 能 。 为 何 称 为 封包 过 滤 呢 ? 因为 他 主要 是 分 析 TCP/IP 的 封包 
表 头 来 进行 过 滤 的 机 制 ， 主 要 分 析 的 是 ODSI 的 第 二 、 三 、 四 层 ， 主 要 控制 的 就 是 
MAC, IP, ICMP TCP 与 UDP 的 埠 口 与 状态 (SYN, ACK...) 等 。 详 细 的 资料 我 们 会 在 
第 九 章 防火 墙 介 绍 。 


@ 第 二 层 防 火 墙 : TCP Wrappers 通过 netfilter 之 后 ， 网 络 封包 会 开始 接受 Super 
daemons 及 TCP_Wrappers 的 检验 ， 那 个 是 什么 呢 ? 说 穿 了 就 是 /etc/hosts.allow 
与 /etc/hosts.deny 的 配置 文件 功能 嗓 。 这 个 功能 也 是 针对 TCP 的 Header 进行 再 次 
的 分 析 ， 同 样 你 可 以 设 定 一 些 机 制 来 抵制 茶 些 IP 或 Port ， 好 让 来 源 端的 封包 被 丢弃 


透 过 防火 墙 的 管控 ， 我 们 可 以 将 大 部 分 来 自 因 特 网 的 垃圾 联机 丢弃 ， 只 允许 自己 开 
放 的 服务 的 联机 进入 本 机 而 已 ， 可 以 达到 最 基础 的 安全 防护 。 


2. 服务 (daemon) 的 基本 功能 : 


预 设 的 防火 墙 是 Linux 的 内 建功 能 ， 但 防火 墙 主 要 管理 的 是 MAC, IP, Port 等 封包 表 头 方 
面 的 信息 ， 如 果 想 要 控 管 某 些 目录 可 以 进入 ， 某 些 目录 则 无 法 使 用 的 功能 ， 那 就 得 要 透 
过 权限 以 及 服务 器 软件 提供 的 相关 功能 了 。 举 例 来 说 ， 你 可 以 在 httpd.conf 这 个 配置 文 
件 之 内 规范 某 些 IP 来 源 不 能 使 用 httpd 这 个 服务 来 取得 主机 的 数据 ， 那 么 即使 该 IP 通 
过 前 面 两 层 的 过 滤 ， 他 依旧 无 法 取得 主机 的 资源 喔 ! 但 要 注意 的 是 ， 如 果 httpd 这 支 程 
序 本 来 就 有 问题 的 话 ， 那 么 client 端 将 可 直接 利用 httpd 软件 的 漏洞 来 入 侵 主机 ， 而 不 需 
要 取得 主机 内 root 的 密码 | 因此 ， 要 小 心 这 些 局 动 在 因特网 上 面 的 软件 喔 ! 


3，SELinux 对 网 络 服务 的 细部 权限 控制 : 


为 了 避免 前 面 一 个 步骤 的 权限 误 用 ， 或 者 是 程序 有 问题 所 造成 的 资 安 状 况 ， 因 此 Security 
Enhanced Linux (安全 强化 Linux) 就 来 发 挥 它 的 功能 啦 ! 简单 的 说 ，SELinux 可 以 针对 
网 络 服务 的 权限 来 设 定 一 些 规则 (policy) ， 让 程序 能 够 进行 的 功能 有 限 ， 因 此 即使 使 用 
者 的 档案 权限 设 定 错误 ， 以 及 程序 有 问题 时 ， 该 程序 能 够 进行 的 动作 还 是 被 限制 的 ， 即 
使 该 程序 使 用 的 是 root 的 权限 也 一 样 。 举 例 来 说 ， 前 一 个 步骤 的 httpd 监 的 被 cracker 攻 
击 而 让 对 方 取得 root 的 使 用 权 ， 由 于 httpd 已 经 被 SELinux 控制 在 var/www/html 里 
面 ， 且 能 够 进行 的 功能 已 经 被 规范 住 了 ， 因 此 cracker 就 无 法 使 用 该 程序 来 进行 系统 的 进 
一 步 破坏 史 。 现 在 这 个 SELinux 一 定 要 开启 喔 ! 


4. 使 用 主机 的 文件 系统 资源 : 


想 一 想 ， 你 使 用 浏览 器 连接 到 WWW 主机 最 主要 的 目的 是 什么 ? 当然 就 是 读 取 主 机 的 
WWW 数据 啦 | 那 WWW 资料 是 哈 ? 就 是 档案 啊 1^^1 所 以 ， 最 终 网 络 封 包 其 实 是 要 
向 主机 要 求 文件 系统 的 数据 啦 。 我 们 这 里 假设 你 要 使 用 httpd 这 支 程序 来 取得 系统 的 档 


案 数 据 ， 但 httpd 默认 是 由 一 个 系统 账号 名 称 为 httpd 来 启动 的 ， 所 以 : 你 的 网 页 数据 的 
权限 当然 就 是 要 让 httpd 这 支 程 序 可 以 读 取 才 行 啊 1 如 果 你 前 面 三 关 的 设 定 都 OK ， 最 终 
权限 设 定 错误 ， 使 用 者 依旧 无 法 浏览 你 的 网 页 数据 的 。 


在 这 些 步骤 之 外 ， 我 们 的 Linux 以 及 相关 的 软件 都 可 能 还 会 支持 登录 文件 记录 的 功能 ， 为 了 
记录 历史 历程 ， 以 方便 管理 者 在 未 来 的 错误 查询 与 入 侵 检 测 ， 良 好 的 分 析 登 录 档 的 习惯 是 一 
定 要 建立 的 ， 尤 其 是 /var/log/messages 与 /var/log/secure 这 些 个 档案 ! 虽然 各 大 主要 Linux 
distribution 大 多 有 推出 适合 他 们 自己 的 登录 文件 分 析 软 件 ， 例 如 CentOS 的 logwatch ， 不 过 
毕竟 该 软件 并 不 见得 适合 所 有 的 distributions ， 所 以 乌 哥 尝试 自己 写 了 一 个 logfile.sh 的 shell 
script， 你 可 以 在 底下 的 网 址 下 载 该 程序 : 


e http://linux.vbird.org/download/index.php?action=detail&fileid=60 


好 了 ， 那 么 根据 这 些 流程 ， 你 觉得 cracker 这 些 个 坏蛋 能 够 怎样 的 攻击 我 们 的 系统 呢 ? 得 要 先 
到 对 方 想 要 怎么 破坏 ， 而 寺 能 妹 吉 站 让 天 于 二 洒 头 风 ! 底下 先 讲 讲 基本 的 攻击 手法 史 。 


7.1.2 常见 的 攻击 手法 与 相关 保护 


我 们 由 图 7.1-1 了 解 到 数据 传送 到 本 机 时 所 需要 经 过 的 几 道 防线 后 ， 那 个 权限 是 最 后 的 关键 
啦 | 现在 你 应 该 比较 清楚 为 何 我 们 常常 在 基础 篇 里 面 一 直 谈 到 设 定 正确 的 权限 可 以 保护 你 的 
主机 了 吧 ? 那么 cracker 是 如 何 透 过 上 述 的 流程 还 能 够 攻击 你 的 系统 啊 ? 底下 就 让 我 们 来 分 
析 分 析 。 


e。 取得 帐户 信息 后 猜 密 码 


由 于 很 多 人 喜欢 用 自己 的 名 字 来 作为 帐户 信息 ， 因 此 账号 的 取得 是 很 容易 的 |! 举例 来 说 ， 如 

果 你 的 朋友 将 你 的 email address 不 小 心 泄漏 出 去 ， 例 如 : dmtsai@your.host.name 之 类 的 

样式 ， 那 么 人 家 就 会 知道 你 有 一 部 主机 ， 名 称 为 your.host.name， 且 在 这 部 主机 上 面 会 有 一 

个 使 用 者 账号 ， 账 号 名 称 为 dmtsai ， 之 后 这 个 坏 | 用 某 些 特殊 软件 例如 nmap 来 进行 
你 主机 的 port scan 之 后 ， 嘿 嘿 ! 他 就 可 以 开始 透 过 你 主机 有 局 动 的 软件 功能 来 猜 你 这 个 账号 
的 密码 了 | 


另外 ， 如 果 你 常常 观察 你 的 主机 登录 文件 ， 那 你 也 会 发 现 如 果 你 的 主机 有 局 动 Mail server 的 
服务 时 ， 你 的 登录 档 就 会 常常 出 现 有 些 怪 家 伙 尝 试 以 一 些 奇 怪 的 常见 账号 在 试图 猜测 你 的 密 
码 ， 举 例 来 说 像 : admin, administrator webmaster .... 之 类 的 账号 ， 尝 试 来 窃取 你 的 私人 信 
件 。 如 果 你 的 主机 费 的 有 这 类 的 账号 ， 而 且 这 类 的 账号 还 没有 良好 的 密码 规划 ， 那 就 容易 

『 中 标 ]! 唉 1! 申 是 麻烦 ! 所 以 我 们 常 讲 ， 系 统 账号 千 万 不 能 给 予 密码 ， 容 易 被 猜 密 码 啊 | 


这 种 猜 密码 的 攻击 方式 算是 最 早期 的 入 侵 模 式 之 一 了 ， 攻 击 者 知道 你 的 账号 ， 或 者 是 可 以 猜 
出 来 你 的 系统 有 哪些 账号 ， 欠 缺 的 就 只 是 密码 而 已 ， 因 此 他 会 『 很 努力 的 」 去 猜 你 es ， 
此 时 ， 你 的 密码 规划 如 果 不 好 的 话 ， 很 容易 就 被 攻击 了 | 主机 也 很 容易 被 绑架 啊 1 所 以 ， 
好 的 密码 设置 习惯 是 很 重要 的 。 


不 过 这 种 攻击 方式 比较 费时 ， 因 为 目前 很 多 软件 都 有 密码 输入 次 数 的 限制 ， 如 果 连 续 输 入 三 

密码 还 不 能 成 功 的 登入 ， 那 该 次 联机 就 会 被 断 线 ! 所 以 ， 这 种 攻击 方式 日 益 减 少 ， 目 前 偶 
而 还 会 看 到 就 是 了 ! 这 也 是 初级 cracker 会 使 用 的 方式 之 一 。 那 我 们 要 如 何 保护 呢 ? 基本 方 
式 是 这 样 的 : 


。 减少 信息 的 曝光 机 会 : 例如 不 要 将 Email Address 随意 散布 到 Internet 上 头 ; 

e。 建立 较 严 格 的 密码 设 定 规则 : 包括 /etc/shadow, /etc/login.defs 等 档案 的 设 定 ， 建 议 你 可 
以 参考 基础 篇 内 的 账号 管理 那 一 章 来 规范 你 的 用 户 密码 变更 时 间 等 等 ， 如 果 主 机 够 稳定 
且 不 会 持续 加 入 某 些 账号 时 ， 也 可 以 考虑 使 用 chattr 来 限制 账号 (/etc/passwd， 
/etc/shadow) 的 更 改 ; 

e 完善 的 权限 设 定 : 由 于 这 类 的 攻击 方式 会 取得 你 的 某 个 使 用 者 账号 的 登入 权限 ， 所 以 如 
果 你 的 系统 权限 设 定 得 宜 的 话 ， 那 么 攻击 者 也 仅 能 取得 一 般 使 用 者 的 权限 而 已 ， 对 于 主 
机 的 伤害 比较 有 限 啦 1 所 以 说 ， 权 限 设 定 是 重要 的 ; 


e@ 利用 系统 的 程序 漏洞 『 主 动 」 攻 击 


由 图 7.1-1 里 面 的 第 二 个 步骤 中 ， 我 们 知道 如 果 你 的 主机 有 开放 网 络 服务 时 ， 就 必须 有 局 动 
某 个 网 络 软件 嘛 ! 我 们 也 知道 由 于 软件 可 能 撰写 方式 的 问题 ， 可 能 产生 一 些 会 被 cracker 乱用 
的 臭虫 程序 代码 ， 而 这 些 臭虫 程序 代码 由 于 产生 问题 的 大 小 ， 有 分 为 bug (臭虫 ， 可 能 会 造成 
系统 的 不 稳定 或 当 机 ) 与 Security (安全 问题 ， 程 序 代码 撰写 方式 会 导致 系统 的 权限 被 恶意 
所 掌握 ) 等 问题 。 


当 程 序 的 问题 被 公布 后 ， 某 些 较 高 阶 的 cracker 会 尝试 撰写 一 些 针对 这 个 漏洞 的 攻击 程序 代 
码 ， 并 且 将 这 个 程序 代码 放置 到 cracker 常 去 的 网 站 上 面 ， 藉 以 推销 自己 的 『 功 力 」.……. 乌 哥 
要 提醒 的 是 ， 这 种 程序 代码 『 是 很 容易 被 取得 的 」。 当 更 多 下 盈盈 美 袋子 ( 台 语 ， 闲 闲 没事 干 
之 意 )J 取得 这 些 程序 代码 后 ， 他 可 能 会 想 要 『 试 一 试 这 个 攻击 程序 的 威力 ， 所 以 就 拿 来 
『 扫 射 」 一 番 ， 如 果 你 八字 比较 轻 ， 或 者 当天 星座 学 家 说 你 比较 倒霉 时 ， 可 能 就 会 被 不 小 心 
的 攻击 到 ... 


这 种 攻击 模式 是 目前 最 常见 的 ， 因 为 攻击 者 只 要 拿 到 攻击 程序 就 可 以 进行 攻击 了 ， 『 而 且 由 
攻击 开始 到 取得 你 系统 的 root 权限 不 需要 猜 密码 ， 不 需要 两 分 钟 ， 就 能 够 立刻 入 侵 成 功 4 ， 
所 以 『 鼻 盈 美 袋子 」 们 最 爱 的 就 是 这 个 吹 吹 了 。 但 这 个 玩意 儿 本 身 是 算 『 你 主机 的 程序 漏 
洞 」 来 攻击 的 ， 所 以 ， 如 果 你 的 主机 随时 保持 在 实时 更 新 的 阶段 ， 或 者 是 关闭 大 部 分 不 需要 
的 程序 ， 那 就 可 以 躲避 过 这 个 问题 。 因 此 ， 你 应 该 要 这 样 做 : 


。 关闭 不 需要 的 网 络 服务 : 开 的 port 越 少 ， 可 以 被 入 侵 的 管道 越 少 ， 一 部 主机 负责 的 服务 
越 单 纯 ， 越 容易 找 出 问题 点 。 

e 随时 保持 更 新 ; 这 个 没 话 讲 1 一定 要 进行 的 ! 

e 关闭 不 需要 的 软件 功能 : 举例 来 说 ， 后面 会 提 到 的 远程 登录 服务 器 SSH 可 以 提供 root 由 
远程 登录 ， 那 么 危险 的 事情 当然 要 给 他 取消 啊 1^ 人 和 ^ 


e 利用 社交 工程 作 欺 骗 


社交 工程 (Social Engineering) 指 的 其 实 很 简单 ， 就 是 透 过 人 与 人 的 互动 来 达到 『 入 侵 4 的 目 
的 ! @ @ ! 人 与 人 的 互动 可 以 入 侵 你 的 主机 ? 岛 哥 在 呼 呢 你 吗 ? 当然 不 是 。 


近日 在 台湾 的 社会 你 不 是 常 看 到 某 些 人 会 尺 『 退 税 、 中 奖 、 花 小 钱 买 贵重 物品 上 等 名 义 来 欺 
骗 善 良 老百姓 ， 让 老百姓 掏 出 口袋 里 的 金钱 给 那些 可 恶 的 金光 党 吗 ? 社交 工程 也 是 类 似 的 方 
法 。 在 大 公司 里 面 ， 或 许 你 可 能 会 接 到 这 样 的 电话 : 『 我 是 人 事 部 门 的 经 理 ， 我 的 账号 为 何 
突然 间 不 能 登入 了 ? 你 给 我 看 一 看 ， 思 ?干脆 直接 帮 有 我 另 建 一 个 账号 ， 我 告诉 你 我 要 的 密码 
是 .4 。 如 果 你 一 时 不 查 给 他 账号 密码 的 话 ， 你 的 主机 可 能 就 这 样 被 绑 走 了 ~ 


社交 工程 的 欺骗 方法 多 的 是 ， 包 括 使 用 『 好 心 的 email 通知 ] 、 【警告 信函 」、 [中 奖 单 4 
等 等 ， 在 在 都 是 要 欺骗 你 的 账号 密码 ， 有 的 则 利用 钓鱼 方式 来 欺骗 你 在 菜 些 恶 意 网 站 上 面 输 
入 你 的 账号 密码 ， 很 讨厌 的 啦 ! 举例 来 说 ， 我 们 昆山 计 中 的 email 常常 会 收 到 系统 维护 的 信 
件 ， 要 我 们 将 账号 密码 提交 给 系统 管理 员 统 一 控 管 ， 这 当然 是 假 的 ! 计 中 根本 不 会 寄 出 这 样 
的 信件 啊 ! 伤 脑筋 啦 ! 所 以 要 注意 啊 ! 那 要 如 何 防范 呢 ? 


。 追踪 对 谈 者 : 不 要 一 味 的 相信 对 方 ， 你 必须 要 有 信心 的 向 上 呈报 ， 不 要 一 时 心慌 就 中 了 
计 ! 

e 不 要 随意 透露 账号 /密码 等 信息 : 最 好 不 要 随意 在 Internet 上 面 填写 这 些 数据 ， 昌 的 很 危 
险 的 ! 因为 在 Internet 上 面 ， 你 永远 不 知道 对 方 屏 幕 前 面 坐 着 的 是 谁 ? 


e@ 利用 程序 功能 的 『 被 动 」 攻 击 


啥 ? 除 了 主动 攻击 之 外 ， 还 有 所 谓 的 被 动 攻击 喔 ? 没 错 啊 ，『 系 金 八 上 ! 那 如 何 作 被 动 攻 击 

呢 ? 那 就 得 要 由 『 和 恶意 网 站 」 讲 起 了 。 如 果 你 喜欢 上 网 随意 浏览 的 话 ， 那 么 有 的 时 候 可 能 会 
连 上 一 些 广告 很 多 ， 或 者 是 一 堆 弹 出 式 窗口 的 网 站 ， 这 些 网 站 有 时 还 会 很 好 心 的 『 提 供 你 很 
多 好 用 的 软件 自动 下 载 与 安装 」 的 功能 ， 如 果 该 网 站 是 你 所 信任 的 ， 例 如 Red Hat, CentOS,， 
Windows 官网 的 话 ， 那 还 好 ， 如 果 是 一 个 你 也 不 清楚 他 是 干 嘛 的 网 站 ， 那 你 是 否 要 同意 下 载 
安装 该 软件 ? 


如 果 你 常常 在 注意 一 些 网 络 危机 处 理 的 相关 新 闻 时 ， 常 会 发 现 Windows 的 浏览 器 (IE) 有 问 
题 ， 有 时 则 是 全 部 的 浏览 器 (Firefox, Netscap, IE...) 都 会 出 现 问题 。 那 你 会 不 会 觉得 奇怪 
啊 ， 怎 么 了 浏览 器 也 会 有 问题 ?4 这 是 因为 很 多 浏览 器 会 主动 的 答应 对 方 WVWW 主机 所 提供 
的 各 项 程序 功能 ， 或 者 是 自动 安装 来 自 对 方 主机 的 软件 ， 有 时 浏览 器 还 可 能 由 于 程序 发 生 安 
全 问题 ， 让 对 方 WWW 浏览 器 得 以 传送 恶意 代码 给 你 的 主机 来 执行 ， 嘿 嘿 ! 中 标 ! 

那 你 又 会 想 啊 ， 那 我 干 嘛 浏览 那样 的 恶意 网 站 ?呵呵 ! 总 是 会 有 些 粗心 大 意 的 时 候 啊 | 如 果 
你 今天 不 小 心 收 到 一 个 email ， 里 面 告诉 你 你 的 银行 账号 有 问题 ， 布 望 你 赶紧 连 上 某 个 网 页 
去 看 看 你 的 账号 是 否 在 有 问题 的 行列 中 ， 你 会 不 会 去 ? 如 果 今 天 有 个 网 络 消息 说 某 某 网 页 在 
提供 大 特价 商品 ， 那 你 会 不 会 去 碰 碰 运 气 ? 都 是 可 能 的 啊 ! 不 过 ， 这 也 就 很 容易 被 对 方 攻击 
到 了 。 


那 如 何 防备 啊 ? 当然 建立 良好 的 习惯 最 重要 了 : 


e 随时 更 新 主机 上 的 所 有 软件 : 如 果 你 的 浏览 器 是 没有 问题 的 ， 那 对 方 传递 恶意 代码 时 ， 


你 的 浏览 器 就 不 会 执行 ， 那 自然 安全 的 多 啊 ! 

。 较 小 化 软件 的 功能 : 举例 来 说 ， 让 你 的 收 信 软 件 不 要 主动 的 下 载 文件 ， 让 你 的 浏览 器 在 
安装 某 些 软件 时 ， 要 通过 你 的 确认 后 才 安 装 ， 这 样 就 比较 容易 克服 一 些小 麻烦 ; 

e 不 要 连接 到 不 明 的 主机 : 其 实 鸟 哥 认 为 这 个 才 最 难 ! 因为 很 多 时 候 我 们 都 用 google 在 搜 
寻 问 题 的 解决 之 道 啊 ， 那 你 如 何 知道 对 方 是 否 是 骗 人 的 ? 所 以 ， 前 面 两 点 防备 还 是 很 重 
要 的 | 不 要 以 为 没有 连接 上 恶意 网 站 就 不 会 有 问题 啊 | 


e。 蠕虫 或 木马 的 rootkit 


rootkit 意思 是 说 可 以 取得 root 权限 的 一 群 工具 组 (kit)， 就 如 同 前 面 主动 攻击 程序 漏洞 的 方法 
一 样 ，rootkit 主要 也 是 透 过 主机 的 程序 漏洞 。 不 过 ，rootkit 也 会 透 过 社交 工程 让 用 户 下 载 、 
安装 rootkit 软件 ， 结 果 让 cracker 得 以 简单 的 绑架 对 方 主机 啊 ! 


rootkit 除了 可 以 透 过 上 述 的 方法 来 进行 入 侵 之 外 ，rootkit 还 会 伪装 或 者 是 进行 自我 复制 ， 举 
例 来 说 ， 很 多 的 rootkit 本 身 就 是 蠕虫 或 者 是 木马 间谍 程序 。 蠕 虫 会 让 你 的 主机 一 直 发 送 封包 

向 外 攻击 ， 结 果 会 让 你 的 网 络 带宽 被 吃 光 光 ， 例 如 2001-2003 年 间 的 Nimda, Code Red 等 

等 ; 至 于 木马 程序 (Trojan Horse) 则 会 对 你 的 主机 进行 开启 后 门 ( 开 一 个 port 来 让 cracker 主 
动 的 入 侵 ) ， 结 果 就 是 . 绑架、 绑架 、 绑 架 ! 


rootkit 其 实 拉 不 好 追踪 的 ， 因 为 很 多 时 候 他 会 主动 的 去 修改 系统 观察 的 指令 ， 包 括 ls, top， 
netstat, ps, who, w, last, find 等 等 ， 让 你 看 不 到 某 些 有 问题 的 程序 ， 如 此 一 来 ， 你 的 Linux 
主机 就 很 容易 被 当成 是 跳板 了 ! 有 够 危险 ! 那 如 何 防备 呢 ? 


e 不 要 随意 安装 不 明 来 源 的 档案 或 者 是 不 明 网 站 的 档案 数据 ; 

。 不 要 让 系统 有 太 多 危险 的 指令 : 例如 SUID/SGID 的 程序 ， 这 些 程序 很 可 能 会 造成 用 户 
不 当 的 使 用 ， 而 使 得 木马 程序 有 机 可 趁 ! 

e。 可 以 定时 以 rkhunter 之 类 的 软件 来 追查 : 有 个 网 站 提供 rootkit 程序 的 检查 ， 你 可 以 前 往 
下 载 与 分 析 你 的 主机 : http://www.rootkit.nl/projects/rootkit_hunter.html 


e。 DDoS 攻击 法 (Distributed Denial of Service ) 


这 类 型 的 攻击 中 文 翻译 成 『 分 布 式 阻 断 服务 攻击 1 ， 从 字面 上 的 意义 来 看 ， 它 就 是 透 过 分 散 
在 各 地 的 僵尸 计算 机 进行 攻击 ， 让 你 的 系统 所 提供 的 服务 被 阻 断 而 无 法 顺利 的 提供 服务 给 其 
他 用 户 的 方式 。 这 种 攻击 法 也 很 要 命 ， 而 且 方 法 有 很 多 ， 最 常见 的 就 属 SYN Flood 攻击 法 
了 |! 还 记得 我 们 在 网 络 基 础 里 面 提 到 的 ， 当 主机 接收 了 一 个 带 有 SYN 的 TCP 封包 之 后 ， 就 
会 启用 对 方 要 求 的 port 来 等 待 联机 ， 并 且 发 送出 回应 封包 ( 带 有 SYN/ACK 旗 目 标 TCP 封 
包 )， 并 等 待 Client 端的 再 次 回应 。 


好 了 ， 在 这 个 步骤 当中 我 们 来 想 一 想 ， 如 果 cient 端 在 发 送出 SYN 的 封包 后 ， 却 将 来 自 
Server 端的 确认 封包 丢弃 ， 那 么 你 的 Server 端 就 会 一 直 空 等 ， 而 且 Client 端 可 以 透 过 软件 功 
能 ， 在 短 短 的 时 间 内 持续 发 送出 这 样 的 SYN 封包 ,那么 你 的 Server 就 会 持续 不 断 的 发 送 确 
认 封 包 ， 并 且 开 启 大 量 的 port 在 空 等 ~ 呵呵 | 等 到 全 部 主机 的 port 都 启用 完毕 ， 那 么 .…. 系 
统 就 挂 了 |! 


更 可 怕 的 是 ， 通 常 攻击 主机 的 一 方 不 会 只 有 一 部 ! 他 会 透 过 Internet 上 面 的 僵尸 网 络 (已 经 成 
为 跳板 ， 但 网 站 主 却 没 有 发 现 的 主机 ) 发 动 全 体 攻击 ， 让 你 的 主机 在 短 时 间 内 就 立刻 挂 点 。 这 
种 DDoS 的 攻击 手法 比较 类 似 『 玉 石 俱 焚 」 的 手段 ， 他 不 是 入 侵 你 的 系统 ， 而 是 要 让 你 的 系 
统 无 法 正常 提供 服务 ! 最 常 被 用 来 作为 阻 断 式 服务 的 网 络 服务 就 是 WWW 了 ， 因 为 WWW 
通常 得 对 整个 Internet 开放 服务 。 


这 种 攻击 方法 也 是 最 难处 理 的 ， 因 为 要 嘛 就 得 要 系统 核心 有 支持 自动 抵挡 DDoS 攻击 的 机 
制 ， 要 嘛 你 就 得 要 自行 撰写 侦 测 软件 来 判断 ! 蜗 是 麻烦 啊 一 而 除非 你 的 网 站 非常 大 ， 并 且 
『 得 罪 不 少 人 J ， 否 则 应 该 不 会 被 DDoS 攻击 啦 | ^^ 


。 其 他 


上 面 提 到 的 都 是 比较 常见 的 攻击 方法 ， 是 还 有 一 些 高 竿 的 攻击 法 啦 ， 不 过 那些 攻击 法 都 需要 

有 比较 高 的 技术 水 准 ， 例 如 IP 坎 骗 。 他 可 以 坎 骗 你 主机 告知 该 封包 来 源 是 来 自信 任 网 域 ， 而 
且 透 过 封包 传送 的 机 制 ， 由 攻击 的 一 方 持续 的 主动 发 送出 确认 封包 与 工作 指令 。 如 此 一 来 ， 

你 的 主机 可 能 就 会 误 判 该 封包 确实 有 响应 ， 而 且 是 来 自 内 部 的 主机 。 


不 过 我 们 知道 因特网 是 有 路 由 的 ， 而 每 部 主机 在 每 一 个 时 段 的 ACK 确认 码 都 不 相同 ， 所 以 这 
个 方式 要 达成 可 以 登入 ， 会 比较 麻烦 ， 所 以 说 ， 不 太 容易 发 生 在 我 们 这 些小 型 主机 上 面 路 | 
不 过 你 还 是 得 要 注意 一 下 说 : 


。 设 定 规则 完善 的 防火 墙 : 利用 Linux 内 建 的 防火 墙 软件 iptables 建立 较为 完善 的 防火 
墙 ， 可 以 防范 部 分 的 攻击 行为 ; 

。 核心 功能 : 这 部 份 比较 复杂 ， 你 必须 要 对 系统 核心 有 很 深入 的 了 解 ， 才 有 办 法 设 定好 你 
的 核心 网 络 功 能 。 

。 登录 文件 与 系统 监控 : 你 可 以 透 过 分 析 登 录 文 件 来 了 解 系统 的 状况 ， 另外 也 可 以 透 过 类 
似 MRTG 之 类 的 监控 软件 来 实时 了 解 到 系统 是 否 有 异常 ， 这 些 工作 都 是 很 好 的 努力 方 
向 |! 


要 让 你 的 系统 更 安全 ， 没 有 『 三 两 三 〗 是 没 办 法 『 上 梁山 」 的 | 我 们 也 一 直 鼓 吹 ，『 维 护 网 
站 比 架设 网 站 还 要 重要 J 的 观念 ! 因为 『 一 人 得 道 鸡 大 升天 J ， 同 样 的 道理 : 『 一 人 中 标 全 
员 挂 点 」， 不 要 以 为 你 的 主机 没有 啥 重要 数据 ， 被 入 侵 或 被 植 入 木马 也 没有 关系 ， 因为 我 们 
的 服务 器 通常 会 对 内 部 来 源 的 主机 规范 的 较为 宽松 ， 如 果 你 的 主机 在 公司 内 部 ， 但 是 不 小 心 
被 入 侵 的 话 ， 那 么 贵 公司 的 服务 器 是 否 就 会 暴露 在 危险 的 环境 当中 了 ? 


另外 ， 在 蠕虫 很 『 发 达 的 年 代 ， 我 们 也 会 发 现 只 要 局 域 网 络 里 面 有 一 部 主机 中 标 ， 整 个 局 
域 网 络 就 会 无 法 使 用 网 络 了 ， 因 为 带宽 已 经 被 蠕虫 塞 爆 ! 如 果 老 板 发 现 他 今天 没有 办 法 收 信 
了 ， 但 无 法 收 信 的 原因 并 非 服务 器 挂 点 ， 而 是 因为 内 部 人 员 的 某 部 个 人 计算 机 中 了 蠕虫 ， 而 
那 部 主机 中 蠕虫 的 原因 只 是 因为 该 使 用 者 不 小 心 去 看 了 一 下 色情 网 站 ， 你 觉得 老板 会 高 兴 的 
跟 该 员工 一 起 看 色情 网 站 还 是 fire 掉 该 人 员 ? 


所 以 啊 ， 主 机 防护 还 是 很 重要 的 ! 不 要 小 看 了 ! 提供 几 个 方向 给 大 家 思考 看 看 吧 : 


建立 完善 的 登入 密码 规则 限制 ; 

完善 的 主机 权限 设 定 ; 

设 定 自动 升级 与 修补 软件 漏洞 、 及 移 除 危险 软件 ; 

在 每 项 系统 服务 的 设 定 当 中 ， 强 化 安全 设 定 的 项 目 ; 

利用 iptables, TCP_Wrappers 强化 网 络 防火 墙 ; 

利用 主机 监控 软件 如 MRTG 与 logwatch 来 分 析 主 机 状况 与 登录 文件 ; 


了 mn 一 


7.1.3 主机 能 作 的 保护 : 软件 更 新 、 减 少 网 络 服务 、 启 动 
SELinux 


根据 本 章 前 面 的 分 析 ， 现 在 你 知道 封包 的 流向 以 及 主机 基本 需要 进行 的 防护 了 。 不 过 你 或 许 
还 是 有 疑虑 ， 那 就 是 ， 了 既然 我 都 已 经 有 了 防火 墙 ， 那 么 权限 的 控 管 啦 、 密 码 的 严密 性 啦 、 服 
务 器 软件 的 更 新 啦 、SELinux 啦 等 等 的 ， 是 否 就 没有 这 么 重要 呢 ? 毕竟 它 是 封包 进入 的 第 一 
关卡 ! 这 关 把 关 严 格 ， 后 续 可 以 稍微 宽松 吗 ? 其 实 ... 你 错 了 ! 对 于 开放 某 些 服务 的 服务 器 来 
说 ， 你 的 防火 墙 『 根 本 跟 屁 一 样 ， 是 没有 用 的 1 」 怎么 说 呢 ? 


。 软件 更 新 的 重要 性 


让 我们 瞧 一 瞧 图 7.1-1 的 流程 好 了 ， 假 设 你 需要 对 全 世界 开放 WWW ， 那 么 提供 WWW 服务 
的 httpd 这 只 程序 就 得 要 执行 ， 并 且 ， 你 的 防火 墙 得 要 打开 port 80 让 全 世界 都 可 以 连接 到 你 
的 port 80 ， 这 样 才 是 一 部 合理 的 WWW 服务 器 嘛 ! 问题 来 啦 ， 如 果 httpd 这 只 程序 有 资 安 方 
面 的 问题 时 ， 请 问 防火 墙 有 没有 效用 ? 当然 没有 ! 因为 防火 墙 原 本 就 得 要 开放 port 80 啊 ! 此 
时 防火 墙 对 你 的 WWW 一 点 防护 也 没有 。 那 怎 办 ? 


没 哈 好 说 的 ， 就 是 软件 持续 更 新 到 最 新 就 对 了 | 因为 自由 软件 就 是 有 这 个 好 处 ， 当 你 的 程序 
有 问题 时 ， 开 发 商会 在 最 短 的 时 间 内 取得 志 工 提供 的 修补 程序 (patch) ， 并 将 该 程序 代码 补 
充 到 软件 更 新 数据 库 中 ， 让 一 般 用 户 可 以 直接 透 过 网 络 来 自动 更 新 。 因 此 ， 要 克服 这 个 服务 
器 软件 的 问题 ， 更 新 系统 软件 就 对 了 。 


但 是 你 得 要 注意 ， 你 的 系统 能 否 更 新 软件 与 系统 的 版 本 有 关 ! 举例 来 说 ，2003 年 左右 发 布 的 
Red Hat 9 目前 已 经 没有 支持 了 ， 如 果 你 还 是 执意 要 安装 Red Hat 9 这 套 系 统 ， 那 么 很 抱 

歉 ， 你 得 要 手动 将 系统 内 的 软件 透 过 make 动作 来 重新 编译 到 最 新 版 ， 因 此 ， 很 麻烦 一 同样 
的 ，Fedora 最 新 版 虽然 有 提供 网 络 自动 更 新 ， 但 是 Fedora 每 一 个 版 本 的 维护 期 间 较 短 ， 你 
可 能 需要 常常 大 幅度 的 变更 你 的 版 本 ， 这 对 服务 器 的 设 定 也 不 妥当 。 此 时 一 个 企业 版 本 的 
Linux distributions 就 很 重要 啦 ! 举例 来 说 ， 鸟 站 的 主机 截至 目前 为 止 (2011/07) 还 是 使 用 
CentOS 4.x ， 因 为 这 个 版 本 目前 还 是 持续 维护 中 。 这 对 服务 器 来 说 ， 是 相当 重要 的 ! 稳定 与 
安全 比 什么 都 重要 ! 


想 要 了 解 软件 的 安全 通报 ， 可 以 参考 如 下 的 网 站 数据 喔 | 


。 人 台湾 计算 机 危机 处 理 小 组 (TWCERT) : http://www.cert.org.tw/ 
。 Red Hat 的 官方 说 明 : https://www.redhat.com/support/ 


e 认识 系统 服务 的 重要 性 


再 回 到 图 7.1-1 当中 ， 同 时 思考 一 下 第 二 章 网 络 基 础 里 面谈 到 的 网 络 联机 是 双向 这 件 事 ， 我 
们 会 得 到 一 个 答案 ， 那 就 是 在 图 7.1-1 内 的 第 二 个 步骤 中 ， 如 果 能 够 减少 服务 器 上 面 的 监听 坊 
口 ， 此 时 因为 服务 器 端 没 有 可 供 联机 的 夫 口 ， 客 户 端 当 然 也 就 无 法 联机 到 服务 器 端 嘛 ! 那么 
如 何 限制 服务 器 开启 的 埠 口 呢 ? 第 二 章 就 谈 到 过 了 “， 关 闭 埠 口 的 方式 是 透 过 关闭 网 络 服务 。 
没 错 啊 ! 所 以 哩 ， 此 时 能 够 减少 网 络 服务 就 减少 ， 可 以 避免 很 多 不 必要 的 麻烦 。 


。 权限 与 SELinux 的 辅助 


根据 网 络 上 面 多 年 来 的 观察 ， 很 多 朋友 在 发 生 权限 不 足 方面 的 问题 后 ， 都 会 直接 将 某 个 目录 
直接 修订 成 为 chmod -R 777 /some/path/。 如 果 这 部 主机 只 是 测试 用 的 没有 上 网 提供 服务 ， 
那 还 好 。 如 果 有 上 网 提供 某 些 服务 时 ， 那 可 就 伤 脑筋 了 ! 因为 目录 的 WX 权限 设 定 一 起 后 ， 
代表 该 身份 可 以 进行 新 增 与 删除 的 动作 。 偏 偏 你 又 给 777 (rwxrwxrwx) ， 代 表 所 有 的 人 都 可 以 
在 该 目录 下 进行 新 增 与 删除 ! 万 一 不 小 心 某 支 程序 被 攻击 而 被 取得 操作 权 ， 想 想 看 ， 你 的 系 
统 不 就 可 能 被 写 入 某 些 可 怕 的 东西 了 吗 ? 所 以 不 要 随便 设 定 权限 啊 ! 


那 如 果 由 于 当初 规划 的 账号 身份 与 群 组 设 定 的 太 杂 乱 ， 导 致 无 法 使 用 单纯 的 三 种 身份 的 三 种 
权限 来 设 定 你 的 系统 时 ， 那 该 如 何 是 好 ? 没关系 的 ， 可 以 透 过 ACL 这 个 好 用 的 东西 ! ACL 
可 以 针对 单一 账号 或 单一 群 组 进行 特定 的 权限 设 定 ， 相 当 好 用 喔 ! 他 可 以 辅助 传统 Unix 的 权 
限 设 定 方面 的 困扰 哩 。 详 情 请 参考 基础 篇 的 内 容 哆 ! 


那 如 何 避 免 用 户 乱用 系统 ， 乱 设 定 权 限 呢 ? 这 个 时 候 就 得 要 透 过 SELinux 来 控制 了 。 
SELinux 可 以 在 程序 与 档案 之 间 再 加 入 一 道 细部 的 权限 控制 ， 因 此 ， 即 使 程序 与 档案 的 权限 
符合 了 操作 动作 ， 但 如 果 程 序 与 档案 的 SELinux 类 型 (type) 不 吻合 时 ， 那 么 该 程序 就 无 法 读 
取 该 档案 喔 1 此 外 ， 我 们 的 CentOS 也 针对 了 某 些 常用 的 网 络 服务 制订 了 许多 的 档案 使 用 规 
则 (rule)， 如 果 这 些 规则 没有 尼 用 ， 那 么 即使 权限 、SELinux 类 型 都 对 了 ， 该 网 络 服务 的 功能 
还 是 无 法 顺利 的 运作 喔 ! 


根据 这 样 的 分 析 ， 我 们 可 以 知道 ， 随 时 更 新 系统 软件 、 限 制 联机 端口 以 及 透 过 启动 SELinux 
来 限制 网 络 服务 的 权限 ， 经 过 这 三 个 简单 的 步骤 ， 你 的 系统 将 可 以 获得 相当 大 的 保护 ! 当然 
啦 ， 后 续 的 防火 墙 以 及 系统 注册 表 档 分 析 工 作 仍 是 需要 进行 的 。 本 章 后 续 将 依据 这 三 点 来 深 
入 介绍 
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7.2 网 络 自动 升级 软件 


在 现在 的 因特网 上 面 ，cracker 实在 是 太 多 了 ! 这 些 闲 人 会 利用 已 经 存在 的 系统 漏洞 ， 来 进行 
侦 测 、 入 侵 你 的 主机 。 因此 ， 除 了 未 来 架设 防火 墙 之 外 ， 最 重要 的 Linux 日 常 管 理工 作 ， 莫 
过 于 软件 的 升级 了 | 不 过 ， 如 果 使 用 者 还 得 要 自己 每 天 观察 网 络 安全 通报 ， 并 主动 去 查询 各 
大 distribution 针对 这 些 漏 洞 来 提供 升级 软件 包 ， 那 趴 是 太 不 人 性 化 了 ! 因此 ， 目 前 就 有 很 多 
在 线 直 接 更 新 的 机 制 出 现 了 ! 有 了 这 些 在 线 直 接 更 新 软件 的 手段 与 方法 ， 我 们 系统 管理 员 在 
管理 主机 系统 上 面 ， 可 就 轻松 的 多 嘿 | 


7.2.1 如 何 进 行 软件 升级 


通常 岛 哥 安装 好 Linux 之 后 ， 会 先 开启 系统 默认 的 防火 墙 机 制 ， 然 后 第 一 件 事情 就 是 进行 全 
系统 更 新 啦 | 不 论 是 哪 一 套 Linux 乌 哥 都 是 这 样 做 的 ， 因 为 要 避免 软件 资 安 的 问题 嘛 ! 好 

了 ， 那 么 Linux 上 面 的 软件 该 如 何 进行 更 新 与 升级 呢 ? 还 记得 你 是 如 何 安装 软件 的 吗 ? 不 就 
是 rpm, tarball 与 dpkg 吗 ? 所 以 哩 ， 你 的 软件 如 果 想 要 升级 ， 那 就 得 依据 当时 你 安装 该 软件 
的 方式 来 进行 升级 啊 | 而 每 种 方式 都 有 其 适用 性 : 


e RPM : 这 是 目前 最 常见 于 Linux distribution 当中 的 软件 管理 方式 ， 包 括 CentOS / 
Fedora / SuSE / Red Hat/ Mandriva 等 等 ， 都 是 使 用 这 个 方式 来 管理 的 ; 


。 Tarball : 利用 软件 的 官方 网 站 所 释 出 的 原始 码 在 您 的 系统 上 面 编 译 与 安装 ， 一般 来 说 ， 
由 于 软件 是 直接 在 自己 的 机 器 上 面 编译 的 ， 所 以 效能 会 比较 好 一 些 。 不 过 ， 升 级 的 时 候 
就 比较 麻烦 ， 因 为 又 得 要 下 载 新 的 原始 码 并 且 重 新 编译 一 次 。 这 种 安装 模式 常见 于 某 些 
特殊 软件 (没有 包含 在 distribution 当中 )， 或 者 是 Gentoo 这 个 强调 效能 的 distribution ; 


。 dpkg : 是 debian 这 个 distribution 所 使 用 的 软件 管理 方式 ， 与 RPM 很 类 似 ， 都 是 透 过 
预先 编译 的 处 理 ， 可 以 让 end user 直接 使 用 来 升级 与 安装 。 


举例 来 说 ， 如 果 你 的 系统 是 CentOS ， 我 们 知道 他 使 用 的 是 RPM 类 型 的 软件 管理 模式 ， 那 如 
果 你 想 要 安装 B2D 的 软件 怎 办 ? 要 注意 ，B2D 是 使 用 debian 的 dpkg 来 管理 软件 的 ， 两 者 
并 不 相同 啊 ! 要 互相 安装 太 难 了 | 所 以 说 ， 要 升级 的 话 ， 得 先 了 解 到 你 系统 上 的 软件 安装 与 
管理 的 方法 才 行 。 


不 过 ， 有 个 特殊 案例 ， 那 就 是 旧版 本 的 Linux (例如 Red Hat 9) 的 软件 升级 该 如 何 是 好 ? 由 
于 虽 版 本 的 软件 支持 度 本 来 就 比较 差 ， 商 业 公司 或 者 是 社 群 也 没有 这 么 多 心力 放 在 旧版 本 的 
支持 上 ， 所 以 ， 你 这 个 时 候 可 以 选择 : (1) 升 级 到 较 新 的 版 本 ， 例 如 CentOS 6.x， 或 者 是 (2) 
利用 Tarball 来 自行 升级 核心 与 软件 。 不 过 ， 上 比较 建议 升级 到 新 版 本 啦 ， 因 为 要 自行 以 手动 方 
式 由 Tarball 安装 到 最 新 的 版 本 ， 实 在 是 很 费时 费力 ， 而 且 还 得 要 常常 查阅 官方 网 站 所 推出 的 
最 新 消息 ， 漏 过 一 则 都 可 能 发 生 无 法 预期 的 状况 。 


我 们 都 晓得 在 Windows 的 环境 下 ， 他 有 提供 一 个 Live update 的 项 目 可 以 自动 的 在 线 升级 ， 
甚至 很 多 的 防 病毒 软件 与 防 木马 软件 也 都 有 推出 实时 的 在 线 更 新 ， 如 此 一 来 可 以 让 您 的 软件 
维持 在 最 新 版 的 状况 ， 卜 是 好 啊 1 呈 1! 那 我 们 的 Linux 是 否 有 这 样 的 功能 ? 如 果 有 的 话 ， 那 
么 系统 自动 进行 软件 升级 ， 不 就 可 以 轻松 又 快乐 了 ? 没 错 ! 确实 是 这 样 的 ! 所 以 就 让 我 们 来 
谈 一 谈 Linux 的 在 线 升级 机 制 吧 1 


在 Linux 最 常见 的 软件 安装 方式 : RPM /Tarball/ dpkg 当中 ，Tarball 由 于 取得 的 是 原始 码 ， 
所 以 要 用 Tarball 来 作 在 线 自 动 更 新 是 不 太 可 能 进行 的 ， 所 以 仅 能 用 RPM 或 dpkg 这 两 种 软 
件 管理 的 方式 来 进行 在 线 更 新 了 。 


但 RPM 与 dpkg 不 是 有 所 谓 的 相依 属性 吗 ? 这 倒 不 需要 担心 响 |! 因为 我 们 的 RPM 与 dpkg 
软件 档案 都 有 一 些 软件 的 基本 信息 ， 并 同时 记录 了 软件 的 相依 属性 (记得 使 用 rpm -q 的 查询 
吗 )， 所 以 当 分 析 这 些 基 本 信息 并 使 用 一 些 机 制 将 这 些 相依 信息 记录 下 来 后 ， 再 透 过 一 些 额 外 
的 网 络 功能 ， 就 能 够 自动 的 分 析 你 的 系统 与 修补 软件 之 间 的 差异 ， 并 可 进一步 帮 你 分 析 所 需 
要 升级 与 相依 属性 的 软件 ， 就 可 达成 自动 升级 的 理想 啦 ! 


由 于 各 家 distributions 在 管理 系统 上 都 有 自己 独特 的 想法 ， 所 以 在 分 析 RPM 或 dpkg 软件 与 
方式 上 面 就 有 所 不 同 ， 也 就 有 底下 这 些 不 同 的 在 线 升级 机 制 啦 : 


。 yum : CentOS 与 Fedora 所 常用 的 自动 升级 机 制 ， 透 过 FTP 或 WWW 来 进行 在 线 升 级 
以 及 在 线 直 接 安装 软件 ; 


。 apt : 最 早 由 debian 这 个 distribution 所 发 展 ， 现 在 B2D 也 是 使 用 apt ， 同 时 由 于 apt 
的 可 移植 性 ， 所 以 只 要 你 的 RPM 可 以 使 用 apt 来 管理 的 话 ， 就 可 以 自行 建立 apt 服务 
器 来 提供 其 他 使 用 者 进行 在 线 安装 与 升级 。 


。 you : 所 谓 的 Yast Online Update (YOU) 是 由 SuSE 所 自行 开发 出 来 的 在 线 安装 升级 方 
式 ， 经 过 注册 取得 一 组 账号 密码 后 ， 就 能 够 使 用 you 的 机 制 来 进行 在 线 升 级 。 不 过 如 果 
是 免费 的 版 本 ， 则 人 私有 60 天 的 试用 期 ! 
e。 Urpmi : 这 个 则 是 Mandriva 所 提供 的 在 线 升级 机 制 ! 
讲 了 这 些 升级 机 制 并 且 与 distribution 作 了 对 应 ， 你 就 该 了 解 到 : 『 每 个 distribution 可 以 使 用 
的 在 线 升 级 机 制 都 不 相同 」 的 啊 1 所 以 请 参考 你 的 distribution 所 提供 的 文件 来 进行 在 线 升级 
的 设 定 喔 ! 否则 就 得 要 自行 手动 下 载 安装 了 1 @ @ 
鸟 哥 这 里 都 是 使 用 CentOS 这 个 Red Hat 兼容 的 distributions 来 介绍 的 ， 因 此 ， 底 下 仅 介 绍 
了 yum 而 已 。 不 过 ，yum 已 经 能 够 适用 于 CentOS, Red Hat Enterprise Linux, Fedora 等 
等 ， 也 应 该 是 担 够 用 的 了 1 另外 ， 基 础 篇 里 面 已 经 谈 过 rpm 与 yum 的 用 法 ， 所 以 在 这 里 仅 
是 加 强 介绍 与 更 新 有 关 的 用 法 而 已 喔 | 


7.2.2 CentOS 的 yum 软件 更 新 、 映 像 站 使 用 的 原理 


我 们 曾经 在 基础 篇 里 面谈 过 yum 了 ， 基 本 上 他 的 原理 是 ， 我 们 的 CentOS 会 跑 到 yum 服务 
器 上 头 ， 下 载 了 官方 网 站 释 出 的 RPM 表 头 列表 数据 ， 该 数据 除了 记载 每 个 RPM 软件 的 相依 
性 之 外 ， 也 说 明了 RPM 档案 所 放置 的 容器 (repository) 所 在 。 因 此 透 过 分 析 这 些 数 据 ， 我 们 
的 CentOS 就 能 够 直接 使 用 yum 去 下 载 与 安装 所 需要 的 软件 了 ! 详细 图 标 与 流程 有 点 像 这 
样 : 


容器 数据 


/path/repodata/ 清 单 





和 
A 7 
注 \( 往 7 


取得 清单 列表 ”实际 安 


凋 





Linux 客户 端 图 7.2-1、 使 用 yum 下 载 清 单 表 
头 与 取得 容器 相关 资料 示意 图 


1. 先 由 配置 文件 判断 yum server 所 在 IP 地 址 ; 

2. 连接 到 yum server 后 ， 先 下 载 新 的 RPM 档案 的 表 头 数据 ; 

3. 分 析 比 较 使 用 者 所 欲 安装 /升级 的 档案 ， 并 提供 使 用 者 确认 ; 

4. 下 载 用 户 选择 的 档案 到 系统 中 的 /var/cache/yum ， 并 进行 实际 安装 ; 


由 于 你 所 下 载 的 清单 当中 已 经 含有 所 有 官方 网 站 所 释 出 的 RPM 档案 的 表 头 相依 属性 的 关系 ， 
所 以 如 果 你 想 要 安装 的 软件 包含 某 些 尚未 安装 的 相依 软件 时 ， 我 们 的 yum 会 顺便 帮 你 下 载 所 
需要 的 其 他 软件 ， 预 安装 后 ， 再 安装 你 所 实际 需要 的 软件 | 从 分 析 、 下 载 到 安装 ， 全 部 一 口 
气 搞定 ! 很 简单 的 叭 1 


不 过 ， 恐 怕 还 是 有 问题 。 如 果 全 世界 使 用 CentOS 的 朋友 通通 联机 到 同一 部 Yum 服务 器 去 下 
载 所 需要 的 RPM 档案 ， 哇 ! 那 带宽 不 就 很 容易 被 塞 爆 ! 那 怎 办 ? 没关系 ， 有 了 所谓 的 映射 站 
啊 ! CentOS 在 世界 各 地 都 有 映射 站 ， 这 些 映射 站 会 将 官网 的 yum 服务 器 的 数据 复制 一 份 ， 
同时 在 映射 站 上 面 也 提供 同样 的 yum 功能 ， 因 此 ， 你 可 以 在 任何 一 部 yum 服务 器 的 映像 站 上 
面 下 载 与 安装 软件 。 底 下 是 CentOS 官网 上 面 列 出 的 亚洲 地 区 映射 站 一 览 表 : 


e http:/www.centos.org/modules/tinycontent/index.php?id=32 
现在 的 yum 又 很 聪明 ， 它 会 自动 的 去 分 析 离 你 的 主机 最 近 的 那 部 映射 站 ， 然 后 直接 使 用 该 部 
映像 主机 作为 你 的 yum 来 源 ， 因 此 ，『 理 论 上 J 你 不 需要 更 动 任何 设 定 ， 在 台湾 ， 你 的 
CentOS 就 会 使 用 台湾 地 区 的 yum 服务 器 哆 1 就 这 么 简单 ! 所 以 ， 接 下 来 就 让 我 们 直接 来 谈 
谈 怎 么 使 用 yum 吧 ! 


Tips: yum 的 原理 与 相关 使 用 ， 我 们 在 基础 篇 里 面 已 经 分 门 别 类 的 介绍 过 了 ， 因 此 底下 仅 就 比 
较 重要 的 部 分 介绍 一 下 史 |! 





7.2.3 yum 的 使 用 : 安装 , 软件 群 组 , 全 系统 更 新 


yum 可 不 止 能 够 在 线 自动 升级 而 已 ， 他 还 可 以 作 查 询 、 软 件 群 组 的 安装 、 整 体 版 本 的 升级 等 
等 ， 好 用 的 哩 上 先 来 谈论 一 下 yum 这 个 指令 的 用 法 吧 : 


[root@www ~]# yum [option] [查询 的 工作 项 目 ] [相关 参数 ] 
选项 与 参数 : 
option : 主要 的 参数 ， 包 括 有 : 

-y : 当 yum 询问 使 用 者 的 意见 时 ， 主 动 回答 yes 而 不 需要 由 键盘 输入 ; 


[查询 的 工作 项 目 ] : 由 于 不 同 的 使 用 条 件 ， 而 有 一 些 选 择 的 项 目 ， 包 括 : 
install : 指定 安装 的 软件 名 称 ， 所 以 后 面 需 接 『 软件 名 称 1 
update  ”: 进行 整体 升级 的 行为 ; 当然 也 可 以 接 某 个 软件 ， 仅 升级 一 个 软件 ; 
remove “ : 移 除 某 个 软件 ， 后 面 需 接 软件 名 称 ; 
search  ”: 搜寻 某 个 软件 或 者 是 重要 关键 字 ; 


list : 列 出 目前 yum 所 管理 的 所 有 的 软件 名 称 与 版 本 ， 有 点 类 似 rpm -qa; 
info : 同上 ， 不 过 有 点 类 似 rpm -qai 的 执行 结果 ; 
clean ee 案 被 放 到 /var/cache/yum ， 可 使 用 clean 将 他 移 除 ， 


可 清除 的 项 目 : packages &#124; headers &#124; metadata &#124; cache 等 ; 


在 [查询 的 工作 项 目 ] 部 分 还 可 以 具有 整个 群 组 软件 的 安装 方式 ， 如 下 所 示 : 
grouplist : 列 出 所 有 可 使 用 的 『 软 件 群 组 ]， 例 如 Development Tools 之 类 的 ; 
groupinfo :后面 接 group_name， 则 可 了 解 该 group 内 含 的 所 有 软件 名 ; 
groupinstall : 这 个 好 用 ! 可 以 安装 一 整 组 的 软件 群 组 ， 相 当 的 不 错 用 ! 
更 常 与 --installroot=/some/path 共享 来 安装 新 系统 
groupremove : 移 除 某 个 软件 群 组 ; 


# 范例 一 : 搜寻 Cent0OS 官网 提供 的 软件 名 称 是 否 有 与 RAID 有 关 的 ? 

[root@www ~]# yum search raid 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile &lt;== 这 里 就 是 在 测试 最 快 的 映射 站 


* base: ftp.isu.edu.tw 有 &1t :二 = 共有 四 个 窑 半 内 容 
* extras: ftp.isu.edu.tw &1t ;== 每 个 容器 都 在 ftp.isu.edu.tw 上 
* updates: ftp.isu.edu.tw 
base &#124; 3.7 kB 00:00 &1t;== 下 载 软 件 的 表 头 列表 中 
extras &#124; 951 B 00:00 
updates &#124; 3.5 KB 00:00 
三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 吕 MaEChediesanid 二 二 二 宇 二 三 三 二 全 三 三 三 三 三 二 二 Cty 二 二 4 好人 到 的 结果 如 下 
dmraid.i686 : dmraid (Device-mapper RAID tool and library) 
江平 间 省 略 ) 二 站 
mdadm.x86_64 : The mdadm program controls Linux md devices (software RAID 
. (底下 省 略 ).... 


# 范例 二 : 上 述 输出 结果 中 ， mdadm 的 功能 为 何 ? 

[root@www ~]# yum info mdadm 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

* base: ftp.twaren.net 

* extras: ftp.twaren.net 

* Updates: ftp.twaren.net 

Installed Packages &1t ;== 这 里 说 明 这 是 已 经 安装 的 软件 ! 


Name : mdadm 

Arch : x86_64 

Version el. 

Release le 

Size : 667 Kk 

Repo : installed 

From repo : anaconda-Cent0S-201106060106 .X86_64 

Summary : The mdadm program controls Linux md devices (software RAID 

URL : http://www.Kkernel.org/pub/linux/utils/raid/mdadm/ 

License : GPLV2+ 

Description: The mdadm program is used to create, manage, and monitor 
. (底下 省 略 ),..， 


# 由 上 述 底线 的 Summary 关键 词 ， 知 道 这 软件 在 达成 软件 磁盘 阵列 功能 1 1 
yum 费 是 个 很 好 用 的 东西 ， 它 可 以 直接 查询 是 否 有 某 些 特殊 的 软件 名 称 。 举 例 来 说 ， 你 可 以 
利用 底下 的 两 个 方式 取得 软件 名 称 : 


。 yum search "一 些 关键 词 " 
。 yum list (可 列 出 所 有 的 软件 文件 名 ) 


然后 oo Blea 
途 ， 最 后 再 决定 要 不 要 安装 啊 | 上 面 的 范例 一 就 是 在 找 出 磁盘 阵列 的 管理 软件 。 如 果 确定 要 
安装 时 ， 那 就 参考 参考 底下 的 流程 吧 | 


利用 yum 进行 安装 


# 范例 三 : 安装 某 个 软件 吧 ! 以 mdadm 这 个 软件 名 为 例 : 
[root@www ~]# yum install mdadm 

. . (前面 省 略 ) ,... 
Setting up Install Process 


Package mdadm-3.1.3-1.e16.x86_64 already installed and latest version 
Nothing to do 


[root@www ~]# yum install mdadma 

Setting up Install Process 

No package &lt;u&gt;mdadma available.&lt;/u&gt,; 
Nothing to do 


仔细 的 看 上 述 的 两 个 指令 ， 第 二 个 指令 鸟 哥 故意 写 错字 ， 让 软件 名 称 由 mdadm 变 成 
mdadma 了 ! 仿 站 同 学 如 果 打 错字 时 所 输出 的 讯息 。 由 上 述 的 讯息 你 可 以 知道 ， 同 样 结果 是 
TNothing to do4 ， 但 是 yum 会 告诉 你 该 软件 是 『 已 安装 (installed and lastest version)J 还 
是 了 没有 该 软件 (No Wd avaliable)J 。 作 这 个 范例 是 A 朋友 们 能 够 仔细 的 看 
输出 的 讯息 啦 ! 好 啦 ! 我 们 还 是 来 安装 一 个 不 曾 装 过 的 ， 就 拿 javacc 这 套 软 件 来 装 看 看 好 
了 |! 


[root@www ~]# yum list javacc* 
Available Packages 


javacc.x86_64 4.1-0.5.el16 base 
javacc-demo.x86_64 4.1-0.5.e16 base 
manual .x86_64 4.1-0.5.el16 base 


共有 三 套 软 件 ， 分 别 是 javacc，javacc-demo，javacc-manual ， 版 本 为 4.1-0.5.e16， 
1 器 当中 存放 的 。 


[root@www ~]# yum install javacc 
. (前 面 省略 ),,.. 
Setting up Install Process 
Resolving Dependencies 
--&gt; Running transaction check &lt;== 开 始 检 查 有 没有 相依 属性 的 软件 问题 
---&gt; Package javacc.x86_64 0:4.1-0.5.el6 set to be updated 


, (中 间 省 略 ),.,.， 
Package Arch Version Repository Size 
Installing: 
javacc x86_64 4.1-0.5.e16 base 895 k 
Installing for dependencies: 
java-1.5.0-gcj x86_64 1.5.0.0-29.1.el6 base 139 k 
java_cup x86_64 1:0.10k-5.el16 base 197 k 
sinjdoc x86_64 0.5-9.1.el6 base 705 k 
Transaction Summary 
Install 4 Package(s) &lt;== 安 装 软 件 汇 整 ， 共 安装 4 个 ， 升 级 9 个 软件 
Upgrade 9 Package(s) 
Total download size: 1.9 M 
Installed size: 5.6 M 
Is this ok [y/N]: y &lt;== 让 你 确认 要 下 载 否 ! 
Downloading Packages: 
(1/4): java-1.5.0-gcj-1.5.0.0-29.1.e16.x86_64.rpm &#124; 139 kB 00:00 
(2/4): java_ cup-0.10k-5.el16.x86_64.rpm &#124; 197 kB 00:00 
(3/4): javacc-4.1-0.5.e16.x86_64.rpm &#124; 895 kB 00:00 
(4/4): sinjdoc-0.5-9.1.el6.x86_64.rpm &#124; 705 kB 00:00 
Total 3.1 MB/s &#124; 1.9 MB 00:00 
Running rpm_check_debug 
Running Transaction Test 
Transaction Test Succeeded 
Running Transaction 
Installing : java-1.5.0-gcj-1.5.0.0-29.1.el16.x86_64 1/4 
Installing : 1:java_cup-0.10k-5.e16.x86_64 2/4 
Installing : Sinjdoc-0.5-9.1.e16.x86_64 3/4 
Installing : javacc-4.1-0.5.e16.X86_64 4/4 


Installed: &1t ;== 主 要 需要 安装 的 
javacc.x86_64 0:4.1-0.5.el16 


Dependency Installed: &1t;== 为 解决 相依 性 额外 装 的 
java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6 java_cup.x86_64 1:0.10k-5.el6 
sinjdoc.x86_64 0:0.5-9.1.el6 


Complete! 


瞧 | 经 过 yum 我 们 可 以 很 轻松 的 就 安装 好 一 个 软件 ， 并 且 这 个 软件 0 
依 属 性 的 克服 了 ， 站 是 方便 到 爆 ! 另外 ，CentOS 6.x 默认 的 情况 下 ，yum 下 载 的 数据 除了 

个 容器 的 表 头 清单 档案 之 外 ， 所 有 下 载 的 RPM 档案 都 会 在 安装 完毕 之 后 予以 删除 ! a 
的 系统 就 不 会 有 容量 被 下 载 的 数据 塞 爆 的 问题 。 但 如 果 你 想 要 下 载 的 RPM 档案 继续 保留 在 

/Var/cache/yum 当中 ， 就 得 要 修改 /etc/yum.conf 配置 文件 了 ! 


[root@www ~]# vim /etc/yum.conf  ”&1lt;== 看 看 就 好 ， 不 要 监 的 作 ! 
[main] 

cachedir=/var/cache/yum/$basearch/$releasever 

keepcache=1 

debuglevel=2 

logfile=/var/log/yum.10og 

exactarch=1 

obsoletes=1 


On 


上 述 的 特殊 字体 地 方 将 0 改 成 1， 这 样 就 能 够 让 你 的 RPM 档案 保存 下 来 。 不 过 ， 除 非 你 有 
好 多 部 主机 要 更 新 ， 你 想 利用 一 台 先 yum 升级 且 下 载 ， 然 后 将 所 有 的 RPM 档案 收集 起 来 给 
内 网 的 机 器 升级 (rpm -Fvh *.rpm) 之 外 ， 上 面 的 vim 修改 动作 不 建议 修改 ! 因为 你 的 /Var 恐 
怕 会 被 塞 爆 啊 ! 再 次 提醒 ! 


e yum 安装 软件 群 组 


什么 是 『 软 件 群 组 ] 呢 ? 由 于 RPM 软件 将 一 个 大 项 目 分 成 好 几 个 小 计划 来 执行 ， 每 个 小 计划 
都 可 以 独立 安装 ， 这 样 的 好 处 是 可 以 让 使 用 者 与 软件 开发 者 安装 不 同 的 环境 ! 举例 来 说 ， 在 
桌面 系统 中 (Desktop)， 一 般 用 户 应 该 不 会 跑 去 发 展 软 件 吧 ? 所 以 针对 桌面 计算 机 ， 软 件 群 组 
又 分 为 "Desktop Platform'" 与 开发 者 "Desktop Platform Development" 两 部 份 ， 每 个 软件 群 
组 内 又 含有 多 个 不 同 的 RPM 软件 档案 ! 这 样 做 的 用 途 是 方便 使 用 者 安装 一 整套 的 项 目 啦 ! 


那么 系统 有 多 少 软 件 群 组 呢 ? 又 该 如 何 观 察 某 个 软件 群 组 有 拥有 的 RPM 档案 呢 ? 我 们 就 利用 
Desktop Platform 这 个 项 目 来 说 明 一 下 鹃 : 


# 范例 四 : 查询 系统 有 的 软件 群 组 有 多 少 个 ? 

[root@www ~]# LANG=C yum grouplist 

Installed Groups: &1t; == 这 个 是 已 安装 的 软件 群 组 
Additional Development 
Arabic Support 
Armenian Support 


Base 
省 办 本 二 
Available Groups : &1t;== 这 个 是 尚 可 安装 的 软件 群 组 


Afrikaans Support 

Albanian Support 

Amazigh Support 
0 0 
Desktop Platform 

Desktop Platform Development 
,... (后 面 省 略 ) ,,.. 


# 范例 五 : 那么 Desktop Platform 内 含 多 少 个 RPM 软件 呢 ? 

[root@www ~]# yum groupinfo "Desktop Platform" 

Group: 桌面 环境 平台 

Description: 受 支 援 的 Cent0S Linux 桌面 平台 函 式 库 。 

Mandatory Packages: &lLt;== 主 要 的 会 被 安装 的 软件 有 这 些 
atk 

人 

Optional Packages:  &Lt;== 额 外 可 选择 的 软件 是 这 些 
qt-mysql 

人 

# 如 果 你 确定 要 安装 这 个 软件 群 组 的 话 ， 那 就 这 样 做 : 


[root@www ~]# yum groupinstall] ”Desktop Platform" 
# 因为 这 里 在 介绍 服务 器 的 环境 ， 所 以 上 面 的 动作 鸟 哥 是 按 下 n 来 拒绝 安装 的 |! 


这 个 『 yum groupinstall "软件 群 组 名 "J 可 以 让 你 一 口气 安装 很 多 的 软件 ， 而 不 必 担 心 
个 软件 忘记 装 了 ! 实在 是 很 不 错 啦 一 而 且 利 用 groupinfo 的 功能 你 也 可 以 发 现 一 些 不 错 的 软 
二 ， 如 此 一 来 ， 你 就 可 以 更 方便 的 管理 你 的 Linux 系统 了 ， 很 不 错 吧 | 


。 全 系统 更 新 


我 们 都 知道 使 用 『yum updateJ 就 可 以 进行 软件 的 更 新 。 不 过 你 晓得 吗 ? yum update 也 可 
以 直接 进行 同一 版 本 的 升级 喔 |! 举例 来 说 ， 你 可 以 从 6.0 升级 到 6.1 版 本 哩 ! 而 且 中 间 过 程 完 
全 无 痛 哆 ! 就 跟 一 般 软 件 升 级 而 已 ， 并 没有 不 同 吻 ! 够 愉快 吧 ! 


过 ， 如 果 你 是 想 要 从 较 旧 版 的 CentOS 5.x 升级 到 6.x 的 话 ， 那 么 可 能 就 得 要 多 费 些 功夫 
了 。 为 哈 不 要 重 灌 比 较 快 呢 ? 因为 你 可 能 已 经 有 些 数据 设 定好 ， 所 以 不 想 变 更 嘛 ! 但 老实 
说 ， 不 同 版 本 (ex> 5.X --> 6.X) 间 的 升级 最 好 还 是 不 要 尝试 啦 ! 重新 安装 可 能 是 最 好 的 状况 。 
底下 列 出 酷 党 园 的 前 华 提 供 的 升级 方式 ， 以 及 CentOS 官网 直接 提供 的 升级 方式 给 你 参考 参 
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。 酷 学 园 TWU2 兄 提供 的 Red Hat 9 升级 到 CentOS 3.x 的 方法 : http://phorum.study- 
area.org/index.php/topic,28648.html 

e。 CentOS 官网 提供 的 CentOS 4.x 升级 到 5.x 的 方法 : 
http://lists.centos.org/pipermail/centos-announce/2007-April/013660.html 

。 CentOS 维基 百科 提供 的 CentOS 4.4 升级 到 5.1 的 方法 : 
http://wiki.centos.org/HowTos/MigrationGuide/ServerCD 4.4 to 5 


例题 : 请 设 定 一 下 工作 排 程 ， 让 你 的 CentOS 可 以 每 天 自动 更 新 系统 答 : 可 以 使 用 『 crontab 
-e 」 来 动作 ， 也 可 以 编辑 『 vim /etc/crontab 」 来 动作 ， 由 于 这 个 更 新 是 系统 方面 的 ， 所 以 
鸟 哥 习 惯 使 用 vim /etc/crontab 来 进行 指令 的 说 明 。 其 实 内 容 很 简单 : 


40 5 * * * root yum -y update && yum clean packages 


这 样 就 可 以 自动 更 新 了 ， 时间 订 在 每 天 的 凌晨 5:40 。 


7.2.4 挑选 特定 的 映射 站 : 修改 yum 配置 文件 与 清除 yum 快 取 


虽然 yum 是 你 的 主机 能 够 联机 上 Internet 就 可 以 直接 使 用 的 ， 不 过 ， 由 于 CentOS 的 映射 站 
台 可 能 会 选 错 ， 举 例 来 说 ， 我 们 在 台湾 ， 但 是 CentOS 的 映射 站 人 台 却 选择 到 了 大 陆 北京 或 者 
是 日 本 去 ， 有 没有 可 能 发 生 啊 ! 有 啊 ! 鸟 哥 教学 方面 就 常常 发 生 这 样 的 问题 ， 要 知道 ， 我 们 

联机 到 大 陆 或 日 本 的 速度 是 非常 慢 的 呢 ! 那 怎 办 ? 当然 就 是 手动 的 修改 一 下 yum 的 配置 文件 
就 好 鹃 ! 


在 台湾， 乌 哥 熟悉 的 CentOS 映射 站 台 主 要 有 昆山 科大 、 高 速 网 络 中 心 与 义 守 大 学 。 在 学 术 
网 络 之 外 ， 鸟 哥 近 来 比较 偏好 高 速 网 络 中心 ， 似 乎 更 新 的 速度 比较 快 ， 而 且 连 接 台 湾 学 术 网 
络 也 非常 快速 哩 ! 因此 ， 鸟 哥 底下 建议 人 台湾 的 朋友 使 用 高 速 网 络 中 心 的 ftp 主机 资源 来 作为 


yum 服务 器 来 源 喔 ! 不 过 ， 因 为 乌 哥 的 机 器 很 多 都 在 昆山 科大 ， 所 以 在 学 术 网 络 上 ， 使 用 的 
反而 是 昆山 科大 的 FTP 史 。 目 前 高 速 网 络 中 心 对 于 CentOS 所 提供 的 相关 网 址 如 下 : 


e http://ftp.twaren.net/Linux/CentOS/6/ 


如 果 你 连接 到 上 述 的 网 址 后 ， 就 会 发 现 里 面 有 一 堆 连 结 ， 那 些 连结 就 是 这 个 yum 服务 器 所 提 
供 的 容器 了 ! 所 以 高 速 网 络 中 心 也 提供 了 addons， pans le extras, fasttrack, os, updates 
等 容器 ， 最 好 认 的 容器 就 是 os (系统 默认 的 软件 ) 与 updates (软件 升级 版 本 ) 史 ! 由 于 鸟 哥 在 
我 的 测试 用 主机 是 利用 x86_64 的 版 本 ， 因此 那个 os 再 点 进去 就 会 得 到 如 下 的 可 提供 安装 的 
网 址 : 


e http://ftp.twaren.net/Linux/CentOS/6/0s/x86 _ 64/ 


为 什么 在 上 述 的 网 址 内 呢 ? 有 什么 特色 ! 最 重要 的 特色 就 是 那个 上 repodata 4 的 目录 |! 该 目 
录 就 是 分 析 RPM 软件 后 所 产生 的 软件 属性 相依 数据 放置 处 | 因此 ， 当 你 要 找 容 器 所 在 网 址 
时 ， 最 重要 的 就 是 该 网 址 底下 一 定 要 有 个 名 为 repodata 的 目录 存在 ! 那 就 是 容器 的 网 址 了 | 
其 他 的 容器 正确 网 址 ， 就 请 各 位 看 信 自 行 寻 找 一 下 喔 ! 现在 让 我 们 修改 配置 文件 吧 ! 


[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 

[base] 

name=Cent0S-$releasever - Base 
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os 
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/ 

gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 


如 上 所 示 ， 乌 哥 仅 列 出 base 这 个 容器 的 原始 内 容 而 已 ， 其 他 的 容器 内 容 请 自行 查阅 嘿 ! 上面 
的 数据 需要 注意 的 是 : 


。 [base] : 代表 容器 的 名 字 ! 中 各 号 一 定 要 存在 ， 里 面 的 名 称 则 可 以 随意 取 。 但 是 不 能 有 
两 个 相同 的 容器 名 称 ， 否 则 yum 会 不 晓得 该 到 哪里 去 找 容器 相关 软件 列表 档案 。 


e name : 只 是 说 明 一 下 这 个 容器 的 意义 而 已 ， 重 要 性 不 高 ! 


e mirrorlist= : 列 出 这 个 容器 可 以 使 用 的 映射 站 台 ， 如 果 不 想 使 用 ， 可 以 批注 到 这 行 。 由 于 
车 一 下 我 们 是 直接 设 定 映像 站 ， 因 此 这 行 待 会 儿 确 实 是 需要 批注 掉 的 喔 |! 


e。 baseurl= : 这 个 最 重要 ， 因 为 后 面 接 的 就 是 容器 的 实际 网 址 |! mirrorlist 是 由 yum 程序 
自行 去 捉 映 像 站 台 ，baseurl 则 是 指定 固定 的 一 个 容器 网 址 ! 我 们 刚刚 找到 的 网 址 放 到 这 
里 来 啦 ! 


e enable=1 : 就 是 让 这 个 容器 被 启动 。 如 果 不 想 启动 可 以 使 用 enable=0 喔 1! 


。 gpgcheck=1 : 还 记得 RPM 的 数字 签名 吗 ? 这 就 是 指定 是 否 需 要 查阅 RPM 档案 内 的 数 
字 签 名 ! 


。 gpgkey= : 就 是 数字 签名 的 公 负 文件 所 在 位 置 ! 使 用 默认 值 即 可 


了 解 这 个 配置 文件 之 后 ， 接 下 来 让 我 们 修改 整个 档案 的 内 容 ， 让 我 们 这 部 主机 可 以 直接 使 用 
高 速 网 络 中 心 的 资源 吧 | 修改 的 方式 乌 哥 仅 列 出 base 这 个 容器 项 目 而 已 ， 其 他 的 项 目 请 您 
自行 依照 上 述 的 作法 来 处 理 即 可 | 


[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 

[base] 

name=Cent0S-$releasever - Base 
baseurl=http://ftp.twaren.net/Linux/Cent0S/6/0s/x86_64/  ”&l1t;== 就 属 它 最 重要 | 
gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

# 底下 其 他 的 容器 项 目 ， 请 自行 到 高 速 网 络 中 心 去 查询 后 自己 处 理 ! 


[root@www ~]# yum clean all &lLt;== 改 过 配置 文件 ， 最 好 清除 既 有 清单 


接 下 来 当然 就 是 给 他 测试 一 下 吧 上 如 何 测试 呢 ? 再 次 使 用 yum 即 可 啊 | 


# 范例 : 列 出 目前 yum server 所 使 用 的 容器 有 哪些 ? 
[root@www ~]# yum repolist all 


repo id repo name status 

base Cent0OS-6 - Base enabled: 6,019 
c6-media CentOS-6 - Media disabled 
centosplus CentOS-6 - Plus disabled 
contrib CentOS-6 - Contrib disabled 

debug Cent0OS-6 - Debuginfo disabled 
extras Cent0OS-6 - Extras enabled: 0 
updates Cent0OS-6 - Updates enabled: 1,042 


repolist: 7,061 
# 在 status 上 写 enabled 才 是 有 局 动 的 ! 由 于 /etc/yum.repos.d/ 
# 有 多 个 配置 文件 ， 所 以 你 会 发 现 还 有 其 他 的 容器 存在 。 


e 修改 容器 产生 的 问题 与 解决 之 道 


由 于 我 们 是 修改 系统 默认 的 配置 文件 ， 事 实 上 ， 我 们 应 该 要 在 /etc/yum.repos.d/ 底下 新 建 一 

个 档案 ， 该 扩展 名 必须 是 .repo 才 行 ! 但 因为 我 们 使 用 的 是 指定 特定 的 映射 站 台 ， 而 不 是 其 

他 软件 开发 生 提 供 的 容器 ， 因 此 才 修 改 系统 默认 配置 文件 。 但 是 可 能 由 于 使 用 的 容器 版 本 有 

新 昌之 分 ， 你 得 要 知道 ，yum 会 先 下 载 容器 的 清单 到 本 机 的 /var/cache/yum 里 面 去 ! 那 我 们 
修改 了 网 址 却 没有 修改 容器 名 称 (中 到 号 内 的 文字 ) ， 可 能 就 会 造成 本 机 的 列表 与 yum 服务 器 
的 列表 不 同步 ， 此 时 就 会 出 现 无 法 更 新 的 问题 了 ! 


那 怎么 办 啊 ? 很 简单 ， 就 清除 掉 本 机 上 面 的 晶 数 据 即 可 ! 需要 手动 处 理 吗 ?不 需要 的 ， 透 过 
yum 的 clean 项 目 来 处 理 即 可 | 


[root@www ~]# yum clean [packages&#124;headers&#124;alll] 
选项 与 参数 : 

packages : 将 已 下 载 的 软件 档案 删除 

headers : 将 下 载 的 软件 文件 头 删 除 

all : 将 所 有 容器 数据 都 删除 ! 


# 范例 : 删除 已 下 载 过 的 所 有 容器 的 相关 数据 ( 含 软件 本 身 与 列表 ) 
[root@www ~]# yum clean all 


I 题 : 有 一 个 网 址 : http:Wfree.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ ， 里 面包 含 了 人 台 
的 国家 高 速 网 络 中 Ce 自由 软件 。 请 依据 该 网 址 提供 的 数据 ， 做 成 系统 可 以 自动 网 


各 安装 的 yum 格式 。 


: 由 于 http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ 里 面 


repodata/ 目录 ， i 这 个 网 址 可 以 直接 做 成 yum 的 容器 配置 文件 。 你 可 以 这 么 做 
的 : 


[root@www ~]# vim /etc/yum.repos.d/drbl.repo 


[drbl1] 
name=This is DRBL site 


baseurl=http://free.nchc,.org.tw/drbl-core/i386/RPMS.drbl-stable/ 


enable=1 
gpgcheck=0 


[root@www ~]# yum search drbl 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

宇 三 宇 宇 三 宇 宇 倒 室 三室 宇 全 全 全 全 室 全 全 全 全 三 全 全 三 全 人 Matcehiedi: dr 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 三 
clonezilla.i386 : Opensource Clone System (ocs), clonezilla 

drbl.i386 : DRBL (Diskless Remote Boot in Linux) package. 

drbl-chntpw.i386 : Offline NT password and registry editor 


. (底下 省 略 ) ,，, ， 


[root@www ~]# yum repolist all 
Loaded plugins: fastestmirror 
Loading mirror speeds from cached hostfile 


repo id repo name status 

base CentOS-6 - Base enabled: 6,019 

c6-media Cent0S-6 - Media disabled 

centosplus Cent0S-6 - Plus disabled 

contrib CentOS-6 - Contrib disabled 

debug Cent0S-6 - Debuginfo disabled 

drbl This is DRBL site enabled: 36 &1t;== 新 的 在 此 |! 
extras CentOS-6 - Extras enabled: 0 

updates Cent0S-6 - Updates enabled: 1,042 


repolist: 7,097 


drbl 这 个 新 增 的 容器 里 面 ， 


拥有 36 个 软件 喔 ! 这 样 够 清楚 吗 ? 


7.3 限制 联机 埠 口 (port) 


为 什么 我 们 的 主机 会 响应 网 络 上 面 的 一 些 要 求 封包 呢 ? 例如 我 们 设 定 了 一 部 WWW 主机 后 ， 

当 有 来 自 Internet 的 WWW 要求 时 ， 我 们 的 主机 就 会 予以 回应 ， 这 是 因为 我 们 的 主机 有 启用 

了 WWW 的 监听 埠 口 啊 ! 所 以 ， 当 我 们 启用 了 一 个 daemon 时 ， 就 可 能 会 造成 主机 的 端口 在 
进行 监听 的 动作 ， 此 时 该 daemon 就 是 已 经 对 网 络 上 面 提供 服务 了 ! 万 一 这 个 daemon 程序 
有 漏洞 ， 因 为 他 提供 了 Internet 的 服务 ， 所 以 就 容易 被 Internet 上 面 的 cracker 所 攻击 了 ! 所 
以 说 ， 仔 细 的 检查 自己 系统 上 面 的 端口 到 底 开 了 多 少 个 ， 并 且 子 以 严格 的 管理 ， 才 能 够 降低 

被 攻击 的 可 能 性 啊 | 


7.3.1 什么 是 port 


快 讲 到 烂 掉 了 ! 当 炮 启动 一 个 网 络 服 务 ， 这 个 服务 会 依据 TCP/IP 的 相关 通讯 协议 启动 一 个 埠 
口 在 进行 监听 ， 那 就 是 TCP/UDP 封包 的 port ( 堆 口 ) 了 。 我 们 从 第 二 章 也 知道 网 络 联机 是 双 
向 的 ， 服 务 器 端 得 要 局 动 一 个 监听 的 夫 口 ， 客 户 端 得 要 随机 局 动 一 个 雹 口 来 接收 响应 的 数据 
才 行 。 那 么 服务 器 端的 服务 是 否 需 要 启动 在 固定 的 埠 口 ? 客户 端的 起 口 是 否 又 是 国定 的 呢 ? 
我 们 将 第 二 章 中 与 port 有 关 的 资料 给 她 汇 整 一 下 先 : 


e 服务 器 端 启动 的 监听 起 口 所 对 应 的 服务 是 国定 的 : 例如 WWW 服务 开启 在 port 80 ， 
FTP 服务 开启 在 port 21，email ee port 25 等 等 ， 都 是 通讯 协议 上 面 的 规范 ! 


e 客户 端 启动 程序 时 ， 随 机 启动 一 个 大 于 1024 以 上 的 堆 口 : 客户 端 启动 的 port 是 随机 产 
ee A dota 0 
浏览 器 、Filezilla 这 个 FTP 客户 端 程序 等 等 。 


@ 一 部 服务 器 可 以 同时 提供 多 种 服务 : 所 谓 的 『 了 监听 是 某 个 服务 程序 会 一 直 常 驻 在 内 存 
当中 ， 所 以 该 程序 启动 的 port 就 会 一 直 存 在 。 只 要 服务 器 软件 激活 的 堆 口 不 同 ， 那 就 不 
会 造成 冲突 。 当 客户 端 连接 到 此 服务 器 时 ， 透 过 不 同 的 堆 口 ， 就 可 以 取得 不 同 的 服务 数 
据 哩 。 所 以 ， 一 部 主机 上 面 当 然 可 以 同时 启动 很 多 不 同 的 服务 啊 ! 


。 共 65536 个 port : 由 第 二 章 的 TCP/UDP 表 头 数据 中 ， 就 知道 port 占用 16 个 位 ， 因 此 
一 般 主 机 会 有 65536 个 port， 而 这 些 port 又 分 成 两 个 部 分 ， 以 port 1024 作 区 隔 : 


o 只 有 root a 双 启 动 的 保留 的 port : 在 小 于 1024 的 埠 口 ， 都 是 需要 以 root 0 
能 启动 的 ， 这 些 port 主要 是 用 于 一 些 常见 的 通讯 服务 ， 在 Linux 系统 下 ， 常 见 的 协 
议 与 port 的 对 应 是 记录 在 /etc/services 里 面 的 。 


o 大 于 1024 用 于 client 端的 port : 在 大 于 1024 以 上 的 port 主要 是 作为 client 端的 软 
件 激活 的 port 。 


e 是 否 需要 三 向 交 握 : 建立 可 靠 的 联机 服务 需要 使 用 到 TCP 协议 ， 也 就 需要 所 谓 的 三 向 交 
握 了 ， 如 果 是 非 面向 连接 的 服务 ， 例 如 DNS 与 视讯 系统 ， 那 只 要 使 用 UDP 协议 即 可 。 


e 通讯 协议 可 以 启用 在 非 正 规 的 port : 我 们 知道 浏览 器 默认 会 连接 到 WWW 主机 的 port 
80， 那 么 你 的 WWW 是 否 可 以 启动 在 非 80 的 其 他 堆 口 ? 当然 可 以 啊 ! 你 可 以 透 过 
WWW 软件 的 设 定 功能 将 该 软件 使 用 的 port 启动 在 非 正 规 的 埠 口 ， 只 是 如 此 一 来 ， 您 的 
客户 端 要 连接 到 你 的 主机 时 ， 就 得 要 在 浏览 器 的 地 方 额外 指定 你 所 启用 的 非 正 规 的 埠 口 
才 行 。 这 个 启动 在 非 正规 的 端口 功能 ， 常 常 被 用 在 一 些 所 谓 的 地 下 网 站 啦 1 人 ^ ^。 另 外 ， 
某 些 软件 默认 就 启动 在 大 于 1024 以 上 的 端口 ， 如 MySQL 数据 库 软 件 就 启动 在 3306。 


e 所 谓 的 port 的 安全 性 : 事实 上 ， 没 有 所 谓 的 port 的 安全 性 ! 因为 『Port 的 启用 是 由 服 
务 软件 所 造成 的 ]， 也 就 是 说 ， 卜 正 影 响 网 络 安全 的 并 不 是 port ， 而 是 启动 port 的 那个 
软件 (程序 ) ! 或 许 你 偶而 会 听 到 : 『 没 有 修补 过 漏洞 的 bind 8.x 版， 很 容易 被 黑客 所 入 
侵 ， 请 尽快 升级 到 bind 9.x 以 后 版 本 」J ， 所 以 吧 ， 对 安全 贤 正 有 危害 的 是 『 某 些 不 安全 
的 服务 」 而 不 是 『 开 了 哪些 port 4 才 是 ! 因此， 没有 必要 的 服务 就 将 他 关闭 吧 ! 尤其 某 
些 网 络 服务 还 会 启动 一 些 port 哩 ! 另外 ， 那 些 已 启动 的 软件 也 需要 持续 的 保持 更 新 喔 ! 


7.3.2 幸 口 的 观察 : netstat, nmap 


好 了 ， 我 们 现在 知道 这 个 port 是 什么 鬼 东 西 了 ， 再 来 就 是 要 来 了 解 一 下 ， 我 们 的 主机 到 底 是 
开 了 多 少 的 port 呢 ? 由 于 port 的 启动 与 服务 有 关 ， 那 么 『 服 务 4 跟 『 port 4 对 应 的 档案 是 哪 
一 个 ? 再 提醒 一 次 哆 ! 是 『 /etc/services 了 啦 ! 而 常用 来 观察 port 的 则 有 底下 两 个 程序 : 


。 netstat : 在 本 机 上 面 以 自己 的 程序 监测 自己 的 port ; 
。 nmap : 透 过 网 络 的 侦 测 软件 辅助 ， 可 侦 测 非 本 机 上 的 其 他 网 络 主机 ， 但 有 违法 之 广 。 


见 他 的 大 头 王 上 怎么 使 用 nmap 会 违法 ? 由 于 nmap 的 功能 太 强 大 了 ， 所 以 很 多 cracker 会 
直接 以 他 来 侦 测 别人 的 主机 ， 这 个 时 候 就 可 能 造成 违法 啦 ! 只 要 你 使 用 nmap 的 时 候 不 要 去 
侦 测 别人 的 计算 机 主机 ， 那 么 就 不 会 有 问题 啦 |! 底下 我 们 分 别 来 说 一 说 这 两 个 宝贝 吧 ! 


e netstat 


在 做 为 服务 器 的 Linux 系统 中 ， 开 启 的 网 络 服务 越 少 越 好 | 因为 较 少 的 服务 可 以 较 容 易 除 错 
(debug) 与 了 解 安全 漏洞， 并 可 避免 不 必要 的 入 侵 管 道 | 所 以 ， 这 个 时 候 请 了 解 一 下 您 的 系 
统 当 中 有 没有 哪些 服务 被 开启 了 呢 ? 要 了 解 自己 的 系统 当中 的 服务 项 目 ， 最 简便 的 方法 就 是 
使 用 netstat 了 ! 这 个 东西 不 但 简单 ， 而 且 功 能 也 是 很 不 错 的 。 这 个 指令 的 使 用 方法 在 第 五 
章 常 用 网 络 功能 指令 介绍 当中 提 过 了 ， 底下 我 们 仅 提供 如 何 使 用 这 个 工具 的 方法 哆 1 


e。 列 出 在 监听 的 网 络 服务 : 


[root@www ~]# netstat -tunl 
ctive Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 


tcp 0 9 0.0.0.0:111 (OS(O) ON (ON LISTEN 

tcp 9 0.0.0.0:22 EROEOROi LISTEN 

OP 127%0ORORLEI2S (OS (OO (OR LISTEN 
(底下 省 咯 ).. 


上 面 说 明了 我 的 主机 至 少 有 启动 port 111, 22, 25 等 ， 而 且 观 察 各 联机 接口 ， 可 发 现 25 
为 TCP 埠 口 ， 但 只 针对 lo 内 部 循环 测试 网 络 提供 服务 ， 因 特 网 是 连 不 到 该 埠 口 的 。 至 于 
port 22 则 有 提供 因特网 的 联机 功能 。 


。 列 出 已 联机 的 网 络 联机 状态 : 


[root@www ~]# netstat -tun 

Active Internet connections (w/o servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 

tcp 0 52 192.168.1.100:22 192.168.1.101:2162 ESTABLISHED 


从 上 面 的 数据 来 看 ， 我 的 本 地 端 服务 器 (Local Address, 192.168.1.100) 目前 仅 有 一 条 已 
建立 的 联机 ， 那 就 是 与 192.168.1.101 那 部 主机 连接 的 联机 ， 并 且 联 机 方 线 是 由 对 方 连 
接 到 我 主机 的 port 22 来 取 用 我 服务 器 的 服务 呐 ! 


e 删除 已 建立 或 在 监听 当中 的 联机 : 


如 果 想 要 将 已 经 建立 ， 或 者 是 正在 监听 当中 的 网 络 服务 关闭 的 话 ， 最 简单 的 方法 当然 就 
是 找 出 该 联机 的 PID ， 然 后 将 他 kill 掉 即 可 啊 ! 例如 下 面 的 范例 : 


[root@www ~]# netstat -tunp 

Active Internet connections (w/o servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/P name 
tcp 0 52 192.168.1.100:22 192.168.1.101:2162 ESTABLISHED 1342/0 


如 上 面 的 范例 ， 我 们 可 以 找 出 来 该 联机 是 由 sshd 这 个 程序 来 启用 的 ， 并 且 他 的 PID 是 
1342， 希望 你 不 要 心急 的 用 killall 这 个 指令 ， 否 则 容易 删 错 人 (因为 你 的 主机 里 面 可 能 会 
有 多 个 sshd 存在 )， 应 该 要 使 用 kill 这 个 指令 才 对 喔 ! 


[root@www ~]# kill -9 1342 


。 nmap 


如 果 你 要 侦 测 的 设备 并 没有 可 让 你 登入 的 操作 系统 时 ， 那 该 怎么 办 ? 举例 来 说 ， 你 想 要 了 解 
一 下 公司 的 网 络 打印 机 是 否 有 开放 某 些 协议 时 ， 那 该 如 何 处 理 啊 ? 现在 你 知道 netstat 可 以 用 
来 查阅 本 机 上 面 的 许多 监听 中 的 通讯 协议 ， 那 例如 网 络 打印 机 这 样 的 非 本 机 的 设备 ， 要 如 何 
查询 啊 ? 呵呵 ! 用 nmap 就 对 了 | 


nmap ( 注 1) 的 软件 说 明之 名 称 为 : 『Network exploration tool and security / port scannerJ ， 
顾名思义 ， 这 个 东西 是 被 系统 管理 员 用 来 管理 系统 安全 性 查核 的 工具 ! 他 的 具体 描述 当中 也 
提 到 了 ，nmap 可 以 经 由 程序 内 部 自行 定义 的 几 个 port 对 应 的 指纹 数据 ， 来 查 出 该 port 的 服 
务 为 何 ， 所 以 我 们 也 可 以 头 此 了 解 我 们 主机 的 port 到 底 是 干 嘛 用 的 上 在 CentOS 里 头 是 有 提 
供 nmap 的 ， 如 果 你 没有 安装 ， 那 么 就 使 用 yum 去 安装 他 吧 ! 


[root@www ~]# nmap [ 扫 瞄 类 型 ] [ 扫 瞄 参数 ] [hosts 地 址 与 范围 ] 
选项 与 参数 : 
[ 扫 瞄 类 型 ] : 主要 的 扫 瞄 类 型 有 底下 几 种 : 
-ST : 扫 瞄 TCP 封包 已 建立 的 联机 connect() ! 
-SS : 扫 瞄 TCP 封包 带 有 SYN 卷 标的 数据 
-SP : 以 ping 的 方式 进行 扫 瞄 
-SU :以 UDP 的 封包 格式 进行 扫 瞄 
-SO :以 IP 的 协议 (protocol) 进行 主机 的 扫 瞄 
[ 扫 瞄 参数 ] : 主要 的 扫 瞄 参数 有 几 种 : 
-PT : 使 用 TCP 里 头 的 ping 的 方式 来 进行 扫 瞄 ， 可 以 获知 目前 有 几 部 计算 机 存活 ( 较 常用 ) 
-PI : 使 用 实际 的 ping ( 带 有 ICMP 封包 的 ) 来 进行 扫 瞄 
-p :这 个 是 port range ， 例 如 1024-，80-1023，30000-60000 等 等 的 使 用 方式 
[Hosts 地 址 与 范围 ] : 这 个 有 趣 多 了 ， 有 几 种 类 似 的 类 型 
192.168.1.100 ”: 直接 写 入 HOST IP 而 已 ， 仅 检查 一 部 ; 
192.168.1.0/24 :为 C Class 的 型 态 ， 
192.168.*.* + : 嘿嘿 1 则 变 为 B Class 的 型 态 了 ! 扫 瞄 的 范围 变 广 了 | 
192.168.,1.0-50,60-100,103, 200 : 这 种 是 变形 的 主机 范围 啦 ! 很 好 用 吧 ! 


# 范例 一 : 使 用 预 设 参数 扫 瞄 本 机 所 启用 的 port (只 会 扫 瞄 TCP) 
[root@www ~]# yum install nmap 

[root@www ~]# nmap localhost 

PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open smtp 

111/tcp open rpcbind 

# 在 预 设 的 情况 下 ，nmap 仅 会 扫 瞄 TCP 的 协议 喔 ! 


nmap 的 用 法 很 简单 呐 ! 就 直接 在 指令 后 面 接 上 IP 或 者 是 主机 名 即 可 。 不 过 ， 在 预 设 的 情况 
下 nmap 仅 会 帮 你 分 析 TCP 这 个 通讯 协议 而 已 ， 像 上 面 这 个 例子 的 输出 结果 。 但 优点 是 顺道 
也 将 开启 该 埠 口 的 服务 也 列 出 来 了 ， 申 是 好 1 ^^1 那 如 果 想 要 同时 分 析 TCP/UDP 这 两 个 
常见 的 通讯 协议 呢 ? 可 以 这 样 做 : 


# 范例 二 : 同时 扫 瞄 本 机 的 TCP/UDP 埠 口 

[root@www ~]# nmap -STU localhost 

PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open smtp 

111/tcp open rpcbind 

111/udp open rpcbind  &lLt;== 会 多 出 UDP 的 通讯 协议 埠 口 ! 


嘿嘿 ! 与 前 面 的 范例 比较 一 下 ， 你 会 发 现 这 次 多 了 几 个 UDP 的 堆 口 ， 这 样 分 析 好 多 了 1! 然 
后 ， 如 果 你 想 要 了 解 一 下 到 底 有 几 部 主机 活 在 你 的 网 络 当 中 时 ， 则 可 以 这 样 做 : 


# 范例 三 : 透 过 ICMP 封包 的 检测 ， 分 析 区 网 内 有 几 部 主机 是 启动 的 

[root@www ~]# nmap -SP 192.168.1.0/24 

Starting Nmap 5.21 ( http://nmap.org ) at 2011-07-20 17:05 CST 
Nmap Scan report for www.centos.vbird (192.168.1.100) 

Host is up. 

Nmap scan report for 192.168.1.101 &1t;== 这 三 行 讲 的 是 192.168.101 的 范例 ! 
Host is up (0.00024s latency). 

MAC Address: 00:1B:FC:58:9A:BB (Asustek Computer) 

Nmap Scan report for 192.168.1.254 

Host is up (0.00026s latency). 

MAC Address: 00:0C:6E:85:D5:69 (Asustek Computer) 

Nmap done: 256 IP addresses (3 hosts up) scanned in 3.81 seconds 


看 到 否 ? 鸟 哥 的 环境 当中 有 三 部 主机 活着 呐 (Hostis up) ! 并 且 该 IP 所 对 应 的 MAC 也 会 被 记 
录 下 来 ， 很 不 错 吧 ! 如 果 你 还 想 要 将 各 个 主机 的 启动 的 port 作 一 番 侦 测 的 话 ， 那 就 得 要 使 
用 二 


[root@www ~]# nmap 192.168.1.0/24 


之 后 你 就 会 看 到 一 堆 port number 被 输出 到 屏幕 上 哆 ~ 如果 想 要 随时 记录 整个 网 段 的 主机 是 
否 不 小 心 开放 了 某 些 服务 ， 嘿 嘿 1 利用 nmap 配合 数据 流 重 导向 (>, >> 等 ) 来 输出 成 为 档 
案 ， 那 随时 可 以 掌握 住 您 局 域 网 络 内 每 部 主机 的 服务 启动 状况 啊 !| ^ 人 ^ 


请 特别 留意 ， 这 个 nmap 的 功能 相当 的 强大 ， 也 是 因为 如 此 ， 所 以 很 多 刚 在 练习 的 黑客 会 使 
用 这 个 软件 来 侦 测 别人 的 计算 机 。 这 个 时 候 请 您 特别 留意 ， 目 前 很 多 的 人 已 经 都 有 『 特 别 的 
方式 上 来 进行 登录 的 工作 ! 例如 以 TCP_Wrappers (/etc/hosts.allow, /etc/hosts.deny) 的 功能 
来 记录 曾经 侦 测 过 该 port 的 IP 1 这 个 软件 用 来 『 侦 测 自 己 机 器 的 安全 性 」 是 很 不 错 的 一 个 工 
具 ， 但 是 如 果 用 来 侦 测 别人 的 主机 ， 可 是 会 『 吃 上 官司 4 的 上 特别 留意 1 1 


7.3.3 夫 口 与 服务 的 启动 /关闭 及 开机 时 状态 设 定 


从 第 二 章 的 数据 我 们 就 知道 ， 其 实 port 是 由 执行 某 些 软件 之 后 被 软件 激活 的 。 所 以 要 关闭 某 
些 port 时 ， 那 就 直接 将 某 个 程序 给 他 关闭 就 是 了 ! 关闭 的 方法 你 当然 可 以 使 用 kill， 不 过 这 举 
竞 不 是 正统 的 解决 之 道 ， 因 为 kill 这 个 指令 通常 具有 强制 关闭 某 些 程序 的 功能 ， 但 我 们 想 要 正 
常 的 关闭 该 程序 啊 !1 所以， 就 利用 系统 给 我 们 的 script 来 关闭 就 好 了 啊 。 在 此 同时 ， 我 们 就 
得 再 来 稍微 复习 一 下 ， 一 般 传 统 的 服务 有 哪 几 种 类 型 ? 


e stand alone 与 super daemon 


我 们 在 基础 学 习 篇 内 谈 到 ， 在 一 般 正 常 的 Linux 系统 环境 下 ， 服 务 的 启动 与 管理 主要 有 两 种 
方式 : 


。 Stand alone 顾名思义 ，stand alone 就 是 直接 执行 该 服务 的 执行 档 ， 让 该 执行 文件 直接 
加 载 到 内 存 当 中 运作 ， 用 这 种 方式 来 启动 可 以 让 该 服务 具有 和 较 快 速 响 应 的 优点 。 一 般 来 
说 ， 这 种 服务 的 启动 script 都 会 放置 到 /etc/init.d/ 这 个 目录 底下 ， 所 以 你 通常 可 以 使 用 : 

『 /etc/init.d/sshd restart J 之 类 的 方式 来 重新 启动 这 种 服务 ; 


。 Super daemon 用 一 个 超级 服务 作为 总 管 ， 来 统一 管理 某 些 特殊 的 服务 。 在 CentOS 6.x 
里 面 使 用 的 则 是 xinetd 这 个 super daemon 啊 ! 这 种 方式 启动 的 网 络 服务 虽然 在 响应 上 
速度 会 比较 慢 ， 不 过 ， 可 以 透 过 super daemon 额外 提供 一 些 控 管 ， 例 如 控制 何 时 启 
动 、 何 时 可 以 进行 联机 、 那 个 IP 可 以 连 进 来 、 是 否 允 许 同时 联机 等 等 。 通 常 个 别 服务 的 
配置 文件 放置 在 /etc/xinetd.d/ 当中 ， 但 设 定 完毕 后 需要 重新 以 『 /etc/init.d/xinetd restart 
J 重新 来 启动 才 行 ! 


关于 更 详细 的 服务 说 明 ， 请 参考 基础 篇 的 认识 服务 一 文 ， 鸟 哥 在 这 里 不 再 教 述 。 好 ， 那 么 如 
果 我 想 要 将 我 系统 上 面 的 port 111 关 掉 的 话 ， 那 应 该 如 何 关闭 呢 ? 最 简单 的 作法 就 是 先 找 出 
那个 port 111 的 启动 程序 哩 ! 


[root@www ~]# netstat -tnlp &#124; grep 111 

tcp 0 © 0.0.0.0:111 0.0.0.0:* LISTEN 990/rpcbind 
tcp 0 (OP Ha la bl 区 LISTEN 990/rpcbind 
# 原来 用 的 是 rpcbind 这 个 服务 程序 ! 

[root@www ~]# which rpcbind 

/sbin/rpcbind 

# 找到 档案 后 ， 再 以 rpm 处 理 处 理 

[root@www ~]# rpm -qf /sbin/rpcbind 

rpcbind-0.2.0-8.e16.x86_64 

# 找到 了 | 就 是 这 个 软件 ! 所 以 将 他 关闭 的 方法 可 能 就 是 : 

[root@www ~]# rpm -qc rpcbind &#124; grep init 
/etc/rc.d/init.d/rpcbind 

[root@www ~]# /etc/init.d/rpcbind stop 


透 过 上 面 的 这 个 分 析 的 流程 ， 你 可 以 利用 系统 提供 的 很 多 方便 的 工具 来 达成 某 个 服务 的 关 

闭 ! 为 啥 这 么 麻烦 ? 不 是 利用 kill -9 990 就 可 以 删 掉 该 服务 了 吗 ? 是 没 错 啦 | 不 过 ， 你 知道 
该 服务 是 做 哈 用 的 吗 ? 你 知道 将 他 关闭 之 后 ， 你 的 系统 会 出 什么 问题 吗 ? 如 果 不 知道 的 话 ， 
那么 利用 上 面 的 流程 不 就 可 以 找 出 该 服务 软件 ， 再 利用 rpm 查询 功能 ， 不 就 能 够 知道 该 服务 
的 作用 了 ?了 所 以 说 ， 这 个 方式 还 是 对 您 会 有 帮助 的 啦 ! 底下 请 您 试 着 将 您 CentOS 或 者 是 其 
他 版 本 的 Linux 的 Telnet 打开 试看 看 。 


例题 : 我 们 知道 系统 的 Telnet 服务 通常 是 以 super daemon 来 控 管 的 ， 请 您 启动 您 系统 的 
telnet 试看 看 。 答 : 


1， 要 启动 telnet 首先 从 须要 已 经 安装 了 telnet 的 服务 器 才 行 ， 所 以 请 先 以 rpm 查询 看 看 是 
否 有 安装 telnet-server 呢 ? Trpm -qa | grep telnet-serverJ 如 果 没 有 安装 的 话 ， 请 利用 
原版 光盘 来 安装 ， 或 者 使 用 『yum install telnet-serverJ 安装 一 下 先 ; 

2， 由 于 是 super daemon 控 管 ， 所 以 请 编辑 /etc/xinetd.d/telnet 这 个 档案 ， 将 其 中 的 

Tdisable = yesJ 改 成 『disable = noJ 之 后 以 『/etc/init.d/xinetd restartJ 重新 启动 
super daemon 吧 ! 


3. 利用 netstat -tnlp 察看 是 否 有 启动 port 23 呢 ? 


e。 预 设 启 动 的 服务 


刚刚 上 头 的 作法 仅 是 『 立 即将 该 服务 启动 或 关闭 」 喔 ! 并 不 会 影响 到 下 次 开机 时 ， 这 个 服务 
是 否 预 设 启动 的 情况 。 如 果 你 想 要 在 开机 的 时 候 就 启动 或 不 启动 某 项 服务 时 ， 那 就 得 要 了 解 
一 下 基础 学 习 篇 里 面谈 到 的 开机 流程 管理 的 内 容 啦 |! 在 Unix like 的 系统 当中 我 们 都 是 透 过 
run level 来 设 定 某 些 执行 等 级 需要 启动 的 服务 ， 以 Red Hat 系统 来 说 ， 这 些 run level 启动 的 
数据 都 是 放置 在 /etc/rc.d/rc[0-6].d/ 里 面 的 ， 那 如 何 管理 该 目录 下 的 script 呢 ? 手动 处 理 吗 ? 
会 疯 掉 的 呐 ! 所 以 你 必须 要 熟悉 chkconfig 或 Red Hat 系统 的 ntsysv 这 几 个 指令 才 行 ! 


这 
Tips: 这 几 个 指令 不 熟 吗 ? 这 个 时 候鸟 哥 不 得 不 说 了 : 『 有 man 堪 用 直 需 用 ， 英 待 无 man 空 
自 猜 上 4 赶紧 给 他 man 下 去 啦 ! 





例题 : (1 人) 如何 查阅 rpcbind 这 个 程序 一 开机 就 执行 ? (2) 如 果 开 机 就 执行 ， 如 何 将 他 改 为 开机 
时 不 要 启动 ? (3) 如 何 立 即 关闭 这 个 rpcbind 服务 ? 答 : 


1， 可 以 透 过 『 chkconfig --list | grep rpcbind J 与 『 runlevel J 确认 一 下 你 的 环境 与 rpcbind 
是 否 启 动 ? 

2， 如果 有 启动 ， 可 透 过 『 chkconfig --level 35 rpcbind off 」 来 设 定 开 机 时 不 要 启动 ; 

3， 可 以 透 过 『 /etc/init.d/rpcbind stop 4 来 立即 关闭 他 ! 


聪明 的 你 一 定 会 问 说 : 『 乌 哥 ， 你 的 意思 是 只 要 将 系统 所 有 的 服务 都 关闭 ， 那 系统 就 会 安全 
史 ?4 当然 .不 是 1 因为 『 很 多 的 系统 服务 是 必须 要 存在 的 ， 否 则 系统 将 会 出 问题 」 举例 来 
说 ， 那 个 保持 系统 可 以 具有 工作 排 程 的 crond 服务 就 一 定 要 存在 ， 而 那个 记录 系统 状况 的 
rsyslogd 也 当然 要 存在 一 否则 怎 知道 系统 出 了 啥 问题 ?所 以 嚼 ， 除 非 你 知道 每 个 服务 的 目的 
是 啥 ， 否 则 不 要 随便 关闭 该 服务 。 底下 乌 哥 列 出 几 个 常见 的 必须 要 存在 的 系统 服务 给 大 家 参 
考 参 考 先 ! 这 些 服 务 请 不 要 关闭 啊 |! 


服务 名 称 服务 内 容 
新 版 的 电源 管理 模块 ， 通 常 建议 开启， 不 过 ， 某 些 笔记 本 电脑 可 能 不 支持 


此 项 服务 ， 那 就 得 关闭 

atd 在 管理 单一 预约 命令 执行 的 服务 ， 应 该 要 启动 的 

crond 在 管理 工作 排 程 的 重要 服务 ， 请 务必 要 启动 啊 |! 

haldaemon ” 作 系 统 硬 件 变 更 侦 测 的 服务 ， 与 USB 设备 关系 很 大 

iptables Linux 内 建 的 防火 墙 软件 ， 这 个 也 可 以 启动 啦 ! 

network 这 个 重要 了 吧 ? 要 网 络 就 要 有 他 啊 ! 

postfix 系统 内 部 邮件 传递 服务 ， 不 要 随便 关闭 他 ! 

rsyslog 系统 的 登录 文件 记录 ， 很 重要 的 ， 务 必 局 动 啊 ! 

sshd 这 是 系统 默认 会 启动 的 ， 可 以 让 你 在 远程 以 文字 型 态 的 终端 机 登入 喔 ! 
xinetd 就 是 那个 super daemon 踊 1 所 以 也 要 启动 啦 ! 


上 面 列 出 的 是 主机 需要 的 重点 服务 ， 请 您 不 要 关闭 他 ! 除非 你 知道 作 了 之 后 会 有 什么 后 果 。 
举例 来 说 ， 你 如 果 不 需要 管理 电源 ， 那 么 将 acpid 关闭 也 没有 关系 啊 ! 如 果 你 不 需要 提供 远 
程 联机 功能 ， 那 么 sshd 也 可 以 关闭 啊 ! 那 其 他 你 不 知道 的 服务 怎 办 ? 没关系 ， 只 要 不 是 网 
络 服务 ， 你 都 可 以 保留 他 ! 如 果 是 网 络 服 务 呢 ? 那 ... 鸟 哥 建议 你 不 知道 的 服务 就 先 关闭 他 ! 
以 后 我 们 谈 到 每 个 相关 的 服务 时 ， 再 一 个 一 个 打开 即 可 。 底 下 我 们 就 来 做 作 看 关闭 网 络 服 务 
这 个 部 分 ! 


7.3.4 安全 性 考虑 -关闭 网 络 服务 端口 


我 们 的 Linux distribution 很 好 心 的 帮 使 用 者 想到 很 多 了 ， 所 以 在 一 安装 完毕 之 后 ， 系 统 会 开 
启 一 堆 有 的 没有 的 网 络 服务 ， 例 如 那个 rpcbind 之 类 的 吹 吹 ， 这 些 东 西 你 或 许 知道 或 许 不 知 
道 ， 不 过 他 就 是 有 开启 ~ 但 我 们 的 主机 明明 就 是 用 来 做 为 服务 器 的 ， 所 以 这 些 本 来 预计 要 给 
client 使 用 的 服务 其 实 有 点 下 多 此 一 举 J」 的 感觉 一 所 以 啦 ， 请 你 将 他 关闭 吧 ! 底下 我 们 举 个 简 
单 的 例子 来 处 理 ， 将 你 的 网 络 服务 关闭 就 好 ， 其 他 在 系统 内 部 的 服务 ， 就 暂时 保留 吧 ! 


例题 : 找 出 目前 系统 上 面 正在 运作 中 的 服务 ， 并 且 找 到 相对 应 的 启动 脚本 (在 /etc/init.d 内 的 
档 名 之 意 )。 答 : 要 找 出 服务 ， 就 利用 netstat -tunlp 即 可 找到 ! 以 鸟 哥 从 第 一 章 安装 的 示范 机 
为 例 ， 鸟 哥 目前 启动 的 网 络 服务 有 底下 这 些 : 


[root@www ~]# netstat -tlunp 
Active Internet connections (only servers) 


Proto Local Address State PID/Program name 
tcp 0.0.0.0:22 LISTEN 1176/sshd 

tcp 1 20705 25 LISTEN 1252/master 
tcp 0.0.0.0:37753 LISTEN 1008/rpc.statd 
tcp S22 LISTEN 1176/sshd 

tcp 2 LISTEN 1851/xinetd 
tcp pe LISTEN 1252/master 
tcp :::38149 LISTEN 1008/rpc.statd 
tcp 90OSO0E0 LISTEN 1873/rpcbind 
EcCp OP :1L LISTEN 1873/rpcbind 
udp 0 0.0.0.0:111 1873/rpcbind 
udp 0 0.0.0.0:776 1873/rpcbind 
udp 0 :::111 1873/rpcbind 
udp 0 :::776 1873/rpcbind 
udp 0.0.0.0:760 1008/rpc.statd 
udp 0.0.0.0:52525 1008/rpc.statd 
udp :352343 1008/rpc.statd 


# 上 述 的 输出 乌 哥 有 稍微 简化 一 些 哩 ， 所 以 有 些 字段 不 见 了 。 
# 这 个 重点 只 是 要 展现 出 最 后 一 个 字段 而 已 啦 ! 


看 起 来 总 共有 sshd, master, rpc.statd, xinetd, rpcbind 等 这 几 个 服务 ， 对 照 前 一 小 节 的 数据 内 
容 来 看 ，master (port 25), sshd 不 能 关 掉 ， 那 么 其 他 的 就 子 以 关闭 啊 ! 透 过 前 两 个 小 节 的 介 
绍 ， 使 用 which 与 rpm 搜寻 吧 ! 举例 来 说 ，rpc.statd 的 启动 脚本 在 : Frpm -qc $(rpm -qf 
$(which rpc.statd) ) | grep initJd 这 样 找 ， 结 果 是 在 『/etc/rc.d/init.d/nfslockJ 这 里 ! 因此 最 终 
的 结果 如 下 : 


rpc.statd /etc/rc.d/init.d/nfs 
/etc/rc.d/init.d/nfslock 
/etc/rc.d/init.d/rpcgssd 
/etc/rc.d/init.d/rpcidmapd 
/etc/rc.d/init.d/rpcsvcgssd 

xinetd /etc/rc.d/init.d/xinetd 

rpcbind /etc/rc.d/init.d/rpcbind 


接 下 来 就 是 将 该 服务 关闭 ， 并 且 设 定 为 开机 不 启动 吧 ! 


[root@www ~]# vim bin/closedaemon.sh 
for daemon in nfs nfslock rpcgssd rpcidmapd rpcsvcgssd xinetd rpcbind 
do 
chkconfig $daemon off 
/etc/init.d/$daemon stop 
done 
[root@www ~]# sh bin/closedaemon.sh 


做 完 上 面 的 例子 之 后 ， 你 再 次 下 达 netstat -tlunp 之 后 ， 会 得 到 仅 剩 port 25, 22 而 已 | 如 此 
一 来 ， 绝 大 部 分 服务 器 用 不 到 的 服务 就 被 你 关闭 ， 而 且 即 使 重新 居 动 也 不 会 被 庆 动 的 啦 1 人 人 ^ 


7.4 SELinux 管理 原则 


SELinux 使 用 所 谓 的 委任 式 访问 控制 (Mandatory Access Control, MAC) ， 他 可 以 针对 特定 的 
程序 与 特定 的 档案 资源 来 进行 权限 的 控 管 ! 也 就 是 说 ， 即 使 你 是 root ， 那 么 在 使 用 不 同 的 程 
序 时 ， 你 所 能 取得 的 权限 并 不 一 定 是 root ， 而 得 要 看 当时 该 程序 的 设 定 而 定 。 如 此 一 来 ， 我 
们 针对 控制 的 『 主 体 了 变 成 了 『 程 序 」 而 不 是 『 使 用 者 」 喔 ! 因此 ， 这 个 权限 的 管理 模式 就 
特别 适合 网 络 服务 的 『 程 序 」 了 ! 因为 ， 即 使 你 的 程序 使 用 root 的 身份 去 启动 ， 如 果 这 个 程 
序 被 攻击 而 被 取得 操作 权 ， 那 该 程序 能 作 的 事情 还 是 有 限 的 ， 因 为 被 SELinux 限制 住 了 能 进 
行 的 工作 了 嘛 ! 


举例 来 说 ，WWW 服务 器 软件 的 达成 程序 为 httpd 这 支 程序 ， 而 默认 情况 下 ，httpd 仅 能 在 
varwww/ 这 个 目录 底下 存 取 档 案 ， 如 果 httpd 这 个 程序 想 要 到 其 他 目录 去 存 取 数 据 时 ， 除 了 
规则 设 定 要 开放 外 ， 目 标 目录 也 得 要 设 定 成 httpd 可 读 取 的 模式 (type) 才 行 喔 ! 限制 非常 多 |! 
所 以 ， 即 使 不 小 心 httpd 被 cracker 取得 了 控制 权 ， 他 也 无 权 浏览 /etc/shadow 等 重要 的 配置 
文件 喔 ! 


7.4.1 SELinux 的 运作 模式 


再 次 的 重复 说 明 一 下 ，SELinux 是 透 过 MAC 的 方式 来 控 管 程序 ， 他 控制 的 主体 是 程序 ， 而 
目标 则 是 该 程序 能 否 读 取 的 『 档 案 资源 」 ! 所 以 先 来 说 明 一 下 这 些 吹 吹 的 相关 性 哟 ! 


。 主体 (Subject) : SELinux 主要 想 要 管理 的 就 是 程序 ， 因 此 你 可 以 将 『 主 体 」 跟 本 章 谈 到 
的 process 划 上 等 号 ; 


。 目标 (Object) : 主体 程序 能 否 存 取 的 『 目 标 资 源 」 一 般 就 是 文件 系统 。 因 此 这 个 目标 项 
目 可 以 等 文件 系统 划 上 等 号 ; 


。 政策 (Policy) : 由 于 程序 与 档案 数量 庞大 ， 因 此 SELinux 会 依据 某 些 服务 来 制订 基本 的 
存 取 安 全 性 政策 。 这 些 政策 内 还 会 有 详细 的 规则 (rule) 来 指定 不 同 的 服务 开放 某 些 资源 的 
存 取 与 否 。 在 目前 的 CentOS 6.x 里 面 仅 有 提供 两 个 主要 的 政策 如 下 ， 一 般 来 说 ， 使 用 预 
设 的 target 政策 即 可 。 


o targeted : 针对 网 络 服务 限制 较 多 ， 针 对 本 机 限制 较 少 ， 是 预 设 的 政策 ; 

o mls : 完整 的 SELinux 限制 ， 限 制 方面 较为 严格 。 
安全 性 本 文 (Security context) : 我 们 刚刚 谈 到 了 主体 、 目 标 与 政策 面 ， 但 是 主体 能 不 能 
存 取 目 标 除了 要 符合 政策 指定 之 外 ， 主 体 与 目标 的 安全 性 本 文 必 须 一 致 才 能 够 顺利 存 
取 。 这 个 安全 性 本 文 (security context) 有 点 类 似 文 件 系统 的 rwx 啦 ! 安全 性 本 文 的 内 容 
与 设 定 是 非常 重要 的 | 如 果 设 定 错误 ， 你 的 某 些 服务 (主体 程序 ) 就 无 法 存 取 文件 系统 ( 目 
标 资 源 )， 当 然 就 会 一 直 出 现 『 权 限 不 符 」 的 错误 讯息 了 |! 
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图 7.4-1、 
SELinux 运作 的 各 组 件 之 相关 性 (本 图 参考 小 州 老师 的 上 课 讲义 ) 


上 图 的 重点 在 『 主 体 上 如何 取 得 『 目 标 」 的 资源 访问 权限 ! 由 上 图 我 们 可 以 发 现 ，(1) 主 体 程 
序 必须 要 通过 SELinux 政策 内 的 规则 放行 后 ， 就 可 以 与 目标 资源 进行 安全 性 本 文 的 比 对 ，(2) 
若 比 对 失败 则 无 法 存 取 目标 ， 若 比 对 成 功 则 可 以 开始 存 取 目标 。 问 题 是 ， 最终 能 否 存 取 目 标 
还 是 与 文件 系统 的 rwx 权限 设 定 有 关 喔 | 如 此 一 来 ， 加 入 了 SELinux 之 后 ， 出 现 权 限 不 符 的 
情况 时 ， 你 就 得 要 一 步 一 步 的 分 析 可 能 的 问题 了 ! 


。 安全 性 本 文 (Security Context) 


CentOS 6.x 的 target 政策 已 经 帮 我 们 制订 好 非常 多 的 规则 了 ， 因 此 你 只 要 知道 如 何 开 局 /关闭 
某 项 规则 的 放行 与 否 即 可 。 那个 安全 性 本 文 比较 麻烦 ! 因为 你 可 能 需要 自行 配置 文件 案 的 安 
全 性 本 文 呢 ! 为 何 需 要 自行 设 定 啊 ? 举例 来 说 ， 你 不 也 常常 进行 档案 的 rwx 的 重新 设 定 吗 ? 
这 个 安全 性 本 文 你 就 将 他 想 成 SELinux 内 必 备 的 rwx 就 是 了 | 这 样 比较 好 理解 啦 。 


安全 性 本 文 存在 于 主体 程序 中 与 目标 档案 资源 中 。 程 序 在 内 存 内 ， 所 以 安全 性 本 文 可 以 存 入 
是 没 问 题 。 那 档案 的 安全 性 本 文 是 记录 在 哪里 呢 ? 事实 上 ， 安 全 性 本 文 是 放置 到 档案 的 
inode 内 的 ， 因 此 主体 程序 想 要 读 取 目 标 档案 资源 时 ， 同 样 需 要 读 取 inode ， 这 inode 内 就 
可 以 比 对 安全 性 本 文 以 及 rwx 等 权限 值 是 否 正确 ， 而 给 予 适 当 的 读 取 权限 依据 。 


性 本 文 到 底 是 什么 样 的 存在 呢 ? 我 们 先 来 看 看 /root 底下 的 档案 的 安全 性 本 文 好 了 。 
性 本 文 可 使 用 『 ls -ZJ 去 观察 如 下 : (注意 : 你 必须 已 经 启动 了 SELinux 才 行 ! 若 
动 ， 这 部 份 请 稍微 看 过 一 遍 即 可 。 底 下 会 介绍 如 何 启 动 SELinux 吗 ! ) 


[root@www ~]# ls -Zz 

-rw------- . root root system u:object_r:admin_home_t:s0 anaconda-ks.cfg 
drwxr-xr-x. root root unconfined _u:object_r:admin_ home_t:s0 bin 

-rw-r--r--. root root system u:object_r:admin_home_t:s0 install.log 
-rw-r--r--. root root system u:object_r:admin_home_t:s0 install.log.syslog 
# 上 述 特殊 字体 的 部 分 ， 就 是 安全 性 本 文 的 内 容 ! 


如 上 所 示 ， 安 全 性 本 文 主要 用 冒号 分 为 三 个 字段 (最 后 一 个 字段 先 略 过 不 看 )， 这 三 个 字段 的 


Identify:role:type 
身份 识别 :角色 :类 型 


。 身份 识别 (ldentify) : 相当 于 账号 方面 的 身份 识别 ! 主要 的 身份 识别 则 有 底下 三 种 常见 的 


类 型 : 


o root : 表示 root 的 账号 身份 ， 如 同上 面 的 表格 显示 的 是 root 家 目录 下 的 数据 啊 | 
o system_u : 表示 系统 程序 方面 的 识别 ， 通 常 就 是 程序 嘿 ; 
o User U : 代表 的 是 一 般 使 用 者 账号 相关 的 身份 。 
。 角色 (Role) : 透 过 角色 字段 ， 我 们 可 以 知道 这 个 数据 是 属于 程序 、 档 案 资源 还 是 代表 使 
用 者 。 一 般 的 角色 有 : 


o objectr : 代表 的 是 档案 或 目录 等 档案 资源 ， 这 应 该 是 最 常见 的 史 ; 
o system_r : 代表 的 就 是 程序 啦 ! 不 过 ， 一 般 使 用 者 也 会 被 指定 成 为 system 『 喔 ! 

e 类 型 (Type) : 在 预 设 的 targeted 政策 中 ，ldentify 与 Role 字段 基本 上 有 是 不 重要 的 ! 重 
要 的 在 于 这 个 类 型 (type) 字段 ! 基本 上 ， 一 个 主体 程序 能 不 能 读 取 到 这 个 档案 资源 ， 与 
类 型 字段 有 关 ! 而 类 型 字段 在 档案 与 程序 的 定义 不 太 相 同 ， 分 别 是 : 

o type : 在 档案 资源 (Object) 上 面 称 为 类 型 (Type) ; 


o domain : 在 主体 程序 (Subject) 则 称 为 领域 (domain) 了 ! domain 需要 与 type 搭 
配 ， 则 该 程序 才能 够 顺利 的 读 取 档 案 资源 啦 ! 


。 程序 与 档案 SELinux type 字段 的 相关 性 
那么 这 三 个 字段 如 何 利 用 呢 ? 首先 我 们 来 瞧 瞧 主体 程序 在 这 三 个 字段 的 意义 为 何 ! 透 过 身份 
识别 与 角色 字段 的 定义 ， 我 们 可 以 约略 知道 某 个 程序 所 代表 的 意义 喔 1 基本 上 ， 这 些 对 应 资 
料 在 targeted 政策 下 的 对 应 如 下 : 


身份 识别 角色 该 对 应 在 targeted 的 意义 
root system 代表 供 root 账号 登入 时 所 取得 的 权限 


system u system 上 由 于 为 系统 账号 ， 因 此 是 非 交 谈 式 的 系统 运作 程序 

User_u system_r 一 般 可 登入 用 户 的 程序 哆 |! 
但 就 如 上 所 述 ， 其 实 最 重要 的 字段 是 类 型 字段 ， 主 体 与 目标 之 间 是 否 具 有 可 以 读 写 的 权限 ， 
与 程序 的 domain 及 档案 的 type 有 关 ! 这 两 者 的 关系 我 们 可 以 使 用 达成 WWW 服务 器 功能 的 
httpd 这 支 程序 与 /var/www/html 这 个 网 页 放置 的 目录 来 说 明 。 首先 ， 看 看 这 两 个 吹 吹 的 安全 
性 本 文 内 容 先 : 


[root@www ~]# yum install httpd 

[root@www ~]# 11 -zd /usr/sbin/httpd /var/www/html 

-rwxr-xr-x. root root system u:object_r:httpd exec _t:s0 /usr/sbin/httpd 
drwxr-xr-x. root root system u:object_r:httpd_sys_ content_t:s0 /var/www/html 
# 两 者 的 角色 字段 都 是 object_r ， 代 表 都 是 档案 ! 而 httpd 属于 httpd_exec_t 类 型 ， 

# /var/www/html 则 属于 httpd_sys_content_t 这 个 类 型 | 


httpd 属于 httpd_exec t 这 个 可 以 执行 的 类 型 ， 而 /var/www/html 则 属于 httpd_sys_content t+ 
这 个 可 以 让 httpd 领域 (domain) 读 取 的 类 型 。 文 字 看 起 来 不 太 容 易 了 解 吧 ! 我 们 使 用 图 示 来 
说 明 这 两 者 的 关系 ! 





httpd domain 


这 个 domain 可 读 取 的 数据 会 
详细 的 列 在 targeteq 政 策 中 ， 
其 中 包括 可 读 取 
httpd_sys_oontent_t 类 型 
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Subject ， 束 吓 httpd 程 序 近 |! 图 7.4-2、 
主体 程序 取得 的 domain 与 目标 档案 资源 的 type 相互 关系 


上 图 的 意义 我 们 可 以 这 样 看 的 : 


1.， 首先 ， 我 们 触发 一 个 可 执行 的 目标 档案 ， 那 就 是 具有 httpd_exec t 这 个 类 型 的 
/usr/sbin/httpd 

2. 该 档案 的 类 型 会 让 这 个 档案 所 造成 的 主体 程序 (Subject) 具有 httpd 这 个 领域 (domain)， 
我 们 的 政策 针对 这 个 领域 已 经 制定 了 许多 规则 ， 其 中 包括 这 个 领域 可 以 读 取 的 目标 资源 
类 型 ; 

3. 由 于 httpd domain 被 设 定 为 可 以 读 取 httpd_sys_content t 这 个 类 型 的 目标 档案 
(Object) ， 因 此 你 的 网 页 放置 到 /var/www/html/ 目录 下 ， 就 能 够 被 httpd 那 支 程序 所 读 取 


4. 但 最 终 能 不 能 读 到 正确 的 资料 ， 还 得 要 看 rwX 是 否 符合 Linux 权限 的 规范 ! 


上 述 的 流程 告诉 我 们 几 个 重点 ， 第 一 个 是 政策 内 需要 制订 详细 的 domain/type 相关 性 ; 第 二 
个 是 若 档 案 的 type 设 定 错误 ， 那 么 即使 权限 设 定 为 rwx 全 开 的 777 ， 该 主体 程序 也 无 法 读 
取 目 标 档 案 资 源 的 啦 | 不 过 如 此 一 来 ， 也 就 可 以 避免 用 户 将 他 的 家 目录 设 定 为 777 时 所 造成 
的 权限 困扰 。 


7.4.2 SELinux 的 启动 、 关 闭 与 观察 

并 非 所 有 的 Linux distributions 都 支持 SELinux 的 ， 所 以 你 必须 要 先 观 察 一 下 你 的 系统 版 本 为 
何 ! 鸟 哥 这 里 介绍 的 CentOS 6.x 本 身 就 有 支持 SELinux 啦 ! 所 以 你 不 需要 自行 编译 
SELinux 到 你 的 Linux 核心 中 ! 目前 SELinux 支持 三 种 模式 ， 分 别 如 下 : 


。 enforcing : 强制 模式 ， 代 表 SELinux 运作 中 ， 且 已 经 正确 的 开始 限制 domain/type 了 ; 

e。 permissive : 宽容 模式 : 代表 SELinux 运作 中 ， 不 过 仅 会 有 警告 讯息 并 不 会 实际 限制 
domain/type 的 存 取 。 这 种 模式 可 以 运 来 作为 SELinux 的 debug 之 用 ; 

。 disabled : 关闭 ，SELinux 并 没有 实际 运作 。 


那 你 怎么 知道 目前 的 SELinux 模式 呢 ? 就 透 过 getenforce 吧 ! 


[root@www ~]# getenforce 
Enforcing  &1lLt;== 诺 ! 就 显示 出 目前 的 模式 为 Enforcing 哆 ! 


另外 ， 我 们 又 如 何 知道 SELinux 的 政策 (Policy) 为 何 呢 ? 这 时 可 以 来 观察 配置 文件 啦 : 


[root@www ~]# vim /etc/selinux/config 
SELINUX=enforcing &1t; == 调整 enforcing&#124;disabled&#124;permissive 
SELINUXTYPE=targeted &1lt;== 目 前 仅 有 targeted 与 mls 


e。 SELinux 的 启动 与 关闭 


上 面 是 默认 的 政策 与 启动 的 模式 ! 你 要 注意 的 是 ， 如 果 改 变 了 政策 则 需要 重新 启动 ; 如 果 由 
SO 或 permissive 改 成 disabled ， 或 由 disabled 改 成 其 他 两 个 ， 那 也 必须 要 重新 局 
动 。 > SELinux 生 整合 到 核心 里 面 去 的 ， 你 只 可 以 在 SELinux 运作 下 切换 成 为 强制 
(enforcing) 或 宽容 (permissive) 模式 ， 不 能 够 直接 关闭 SELinux 的 ! 如 果 刚 刚 你 发 现 
getenforce eh disabled 时 ， 请 到 上 述 档案 修改 成 为 enforcing 然后 重新 启动 吧 ! 


过 你 要 注意 的 是 ， 如 果 从 disable 转 到 启动 SELinux 的 模式 时 ， 由 于 系统 必须 要 针对 档案 
写 入 安全 性 本 文 的 信息 ， 因 此 开机 过 程 会 花费 不 少时 间 在 等 待 重新 写 入 SELinux 安全 性 本 文 
(有 时 也 称 为 SELinux Label) ， 而 且 在 写 Wo 还 得 要 再 次 的 重新 启动 一 次 喔 ! 你 必须 要 等 待 
粉 长 一 段 时 间 ! 等 到 下 次 开机 成 功 后 ， 再 使 用 getenforce 来 观察 看 看 有 否 成 功 的 启动 到 
Enforcing 的 模式 史 ! 


如 果 你 已 经 在 Enforcing 的 模式 ， 但 是 可 能 由 于 一 些 t 2 问题 导致 SELinux 让 某 些 服务 无 
法 正常 的 运作 ， 此 时 你 可 以 将 Enforcing 的 模式 改 为 宽容 (permissive) 的 模式 ， 让 SELinux 
只 会 警告 无 法 顺利 联机 的 讯息 ， 而 不 是 直接 抵挡 主体 程序 的 读 取 权 限 。 让 SELinux 模式 在 
enforcing 与 permissive 之 间 切 换 的 方法 为 : 


[root@www ~]# setenforce [08&#124;1] 
选项 与 参数 : 

9 : 转 成 permissive 宽容 模式 ; 

1 : 转 成 Enforcing 强制 模式 


# 范例 一 :将 SELinux 在 Enforcing 与 permissive 之 间 切 换 与 观察 
[root@www ~]# setenforce 0 

[root@www ~]# getenforce 

Permissive 

[root@www ~]# setenforce 1 

[root@www ~]# getenforce 

Enforcing 


不 过 请 注意 ，setenforce 无 法 在 Disabled 的 模式 底下 进行 模式 的 切换 喔 |! 


Tips: 在 某 些 特殊 的 情况 底下 ， 你 从 Disabled 切换 成 Enforcing 之 后 ， 竟 然 有 一 扒 服务 无 法 顺 
利 启 动 ， 都 会 跟 你 说 在 /lib/xxx 里 面 的 数据 没有 权限 读 取 ， 所 以 启动 失败 。 这 大 多 是 由 于 在 重 
新 写 入 SELinux type (Relable) 出 错 之 故 ， 使 用 Permissive 就 没有 这 个 错误 。 那 如 何 处 理 

呢 ? 最 简单 的 方法 就 是 在 Permissive 的 状态 下 ， 使 用 『 restorecon -Rv /J 了 重新 还 原 所 有 
SELinux 的 类 型 ， 就 能 够 处 理 这 个 错误 ! 


7.4.3 SELinux type 的 修改 


既然 SELinux 的 类 型 字段 (type) 这 么 重要 ， 那 如 何 修改 与 变更 这 个 字段 ， 当 然 就 是 最 重要 的 
一 件 事 史 。 首先 ， 我 们 来 看 看 如 果 复 制 一 个 档案 到 不 同 的 目录 去 ， 会 发 生 什 么 状况 吧 ! 
# 范例 :将 /etc/hosts 复制 到 root 家 目录 ， 并 观察 相关 的 SELinux 类 型 变化 


[root@www ~]# cp /etc/hosts /root 
[root@www ~]# ls -dz /etc/hosts /root/hosts /root 


-rw-r--r--. root root system u:object_r:net_ conf_t:s© /etc/hosts 
dr-xr-x---. root root system u:object_r:admin_home_t:s0 /root 
-rw-r--r--. root root unconfined_u:object_r:admin_ home_t:s0 /root/hosts 


# 范例 :将 /root/hosts 移动 到 /tmp 下 ， 并 观察 相关 的 SELinux 类 型 变化 
[root@www ~]# mv /root/hosts /tmp 

[root@www ~]# 1s -dz /tmp /tmp/hosts 

drwxrwxrwt. root root system u:object_r:tmp_t:s0 /tmp 
-rw-r--r--. root root unconfined_u:object_r:admin_ home_t:s0 /tmp/hosts 


看 到 没有 ? 当 你 单纯 的 复制 时 ，SELinux 的 type 字段 是 会 继承 目标 目录 的 ， 所 以 /root/hosts 
的 类 型 就 会 变 成 admin_home t 这 个 类 型 了 。 但 是 如 果 是 移动 呢 ? 那么 连同 SELinux 的 类 型 
也 会 被 移动 过 去 ， 因 此 /tmp/hosts 会 依 昌 保持 admin_home t 而 不 会 变 成 /tmp 的 tmp_t 这 个 
类 型 只 ! 要 注意 ! 要 注意 ! 那么 ， 如 何 将 /tmp/hosts 变更 成 为 最 原始 的 net_conf t 这 个 类 型 
呢 ? 那 就 得 要 使 用 chcon 史 ! 


e chcon 


[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 档案 
[root@www ~]# chcon [-R] --reference= 范 例文 件 档案 

选项 与 参数 : 

-R :连同 该 目录 下 的 次 目录 也 同时 修改 ; 

-七 :后面 接 安全 ， 人 ! 例如 httpd_sys_content t ; 

-U 后面 接 身份 识别 ， 例 如 System_uU ; 

-Fr :后 面 街角 色 ， system_r; 

- -reference= 范 例文 件 : 拿 某 个 档案 当 范 例 来 修改 后 续 接 的 档案 的 类 型 ! 


# 范例 : 将 刚刚 的 /tmp/hosts 类 型 改 为 etc_t 的 类 型 

[root@www ~]# chcon -t net_conf_t /tmp/hosts 

[root@www ~]# 11 -2Z /tmp/hosts 

-rw-r--r--. root root unconfined _u:object_r:net_conf_t:s0 /tmp/hosts 


# 范例 :以 /var/spool/mail/ 为 依据 ， 将 /tmp/hosts 修改 成 该 类 型 

[root@www ~]# 11 -dz /var/spool/mail 

drwxrwxr-x. root mail system u:object_r:mail spool t:s0 /var/spool/mail 
[root@www ~]# chcon --reference=/var/spool/mail /tmp/hosts 

[root@www ~]# 11 -2Z /tmp/hosts 

-rw-r--r--. root root system u:object_r:mail spool t:s0 /tmp/hosts 








chcon 的 修改 方式 中 ， 我 们 必须 要 知道 最 终 我 们 的 SELinux type ee ， ms 
功 。 如 果 你 想 要 作 的 是 『 复 原 成 原 有 的 SELinux typeJ 呢 ? 那 可 以 参考 底下 的 指令 
哆 1 


e restorecon 


[root@www ~]# restorecon [-Rv] 档案 或 目录 
选项 与 参数 : 

-R 起 修改 ; 

-V :将 过 程 显示 到 屏幕 上 


# 范例 : 将 刚刚 /tmp/hosts 移动 至 /root 并 以 预 设 的 安全 性 本 文 改 正 过 来 

[root@www ~]# mv /tmp/hosts /root 

[root@www ~]# 11 -2Z /root/hosts 

-rw-r--r--. root root system u:object_r:mail spool t:s0 /root/hosts 
[root@www ~]# restorecon -Rv /root 

restorecon reset /root/hosts context system u:object_r:mail_ spool t:s0-&gt; 
System u:object_r:admin_home_t:s0 

# 上 面 这 两 行 其 实 是 同一 行 喔 ! 表示 将 hosts 由 mail spool t 改 为 admin_home_t 








。 默认 目录 的 安全 性 本 文 查询 与 修改 


透 过 上 面 这 几 个 练习 ， 你 就 会 知道 啦 ，SELinux type 恐怕 会 在 档案 的 复制 /移动 时 产生 一 些 变 
化 ， 因 此 需要 善 用 chcon, restorecon 等 指令 来 进行 修订 。 那 你 应 该 还 是 会 想到 一 件 事 ， 那 就 
是 ，restorecon 怎么 会 知道 每 个 目录 记载 的 默认 SELinux type 类 型 呢 ? 这 是 因为 系统 有 记录 
嘛 ! 记录 在 /etc/selinux/targeted/contexts， 但 是 该 目录 内 有 很 多 不 同 的 数据 ， 要 使 用 文本 编 
辑 器 去 查阅 很 麻烦 ， 此 时 ， 我 们 可 以 透 过 semanage 这 个 指令 的 功能 来 查询 与 修改 喔 ! 


[root@www ~]# semanage {1ogin&#124;USser&#124;port&#124;Interface&#124;fcontext&#124;trans 
[root@www ~]# semanage fcontext -{a&#124;d&#124;m} [-frst] file_spec 

选项 与 参数 : 

fcontext | 性 本 文 方面 的 用 途 ， -1 为 查询 的 意思 ; 

-a :增加 的 意思 ， 你 可 以 增加 一 些 目录 的 默认 安全 性 本 文 类 型 设 定 ; 

-m :修改 的 意思 ; 

-d :删除 的 意思 。 


# 范例 : 查询 一 下 /var/www/ 的 预 设 安全 性 本 文 设 定 为 何 | 
oo ~]# yum install policycoreutils-python 
[root@www ~]# semanage fcontext -1 &#124; grep '/var/www’ 


SELinux fcontext 类 型 Context 
/var/www(/.*)? all files system _u:object_r:httpd_sys_content_t:s0 
/var/www(/.*)?/logs(/.*)? all files system uvu:object_r:httpd_log_t:s0 
. (后 面 省 略 ).... 
| _ | 








从 上 面 的 说 明 ， 我 们 知道 其 实 semanage 可 以 处 理 非常 多 的 任务 ， 不 过 ， 在 这 个 小 节 我 们 主 
要 想 了 解 的 是 每 个 目录 的 默认 安全 性 本 文 。 如 上 面 范例 所 示 ， 我 们 可 以 查询 的 到 每 个 目录 的 
安全 性 本 文 啦 ! 而 目录 的 设 定 可 以 使 用 正规 表示 法 去 指定 一 个 范围 。 那 么 如 果 我 们 想 要 增加 
某 些 自 定 义 的 目录 的 安全 性 本 文 呢 ? 举例 来 说 ， 我 想 要 制订 /srv/vbird 成 为 public_content t 
的 类 型 时 ， 应 该 如 何 指定 呢 ? 


# 范例 : 利用 semanage 设 定 /srv/vbird 目录 的 默认 安全 性 本 文 为 public_content_t 
[root@www ~]# mkdir /srv/vbird 

[root@www ~]# 11 -zd /srv/vbird 

drwxr-xr-x. root root unconfined _u:object_r:var_t:s0 /srv/vbird 

# 如 上 所 示 ， 预 设 的 情况 应 该 是 var_t 这 个 吹 吹 的 ! 


[root@www ~]# semanage fcontext -1 &#124; grep '/srv' 
/srv directory system_u:object_r:var_t:sQ &lt;== 看 这 里 
STEVE all files system u:object_r:var_t:s0 
. (底下 省 略 ) ,， 
# 上 面 则 是 预 设 的 /srv 底下 的 安全 性 本 文 数据 ， 不 过 ， 并 没有 指定 到 /srv/vbird 叭 


[root@www ~]# semanage fcontext -a -t public content_t "/srv/vbird(/.*)?" 
[root@www ~]# semanage fcontext -1 &#124; grep '/srv/vbird' 
/srv/vbird(/.*)? all files system u:object_r:public content_t:s0 


[root@www ~]# cat /etc/selinux/targeted/contexts/files/file contexts.local 
# This file is auto-generated by libsemanage 

# Please use the semanage command to make changes 

/srv/vbird(/. Oe system u:object_r:public_content_t:s0 

# 其 实 就 是 写 入 这 个 档案 的 哆 ! 人 人 人 


[root@www ~]# restorecon -Rv /srv/vbird* &1lt;== 尝 试 恢复 默认 值 

[root@www ~]# 11 -zd /srv/vbird 

drwxr-xr-x. root root System_u:object_r:public_content_t:s9 /srv/vbird 
# 有 默认 值 ， 以 后 用 restorecon 来 修改 比较 简单 ! 


semanage 的 功能 很 多 过 鸟 哥 主 要 用 到 的 仅 有 fcontext 这 个 项 目的 动作 而 已 。 如 上 所 


示 ， 你 可 以 使 用 semanage ee 目录 默认 值 ， 也 能 够 使 用 他 来 增加 默认 值 的 设 定 ! 
如 果 您 学 会 这 些 基础 的 工具 ， 那 么 SELinux 对 你 来 说 ， 也 不 是 什么 太 难 的 吹 吹 哆 |! 


7.4.4 SELinux 政策 内 的 规则 布尔 值 修订 


前 面 讲 到 ， 要 通过 SELinux 的 验证 之 后 才能 开始 档案 权限 rwx 的 判断 ， 而 SELinux 的 判断 主 
要 是 (1) 政 策 内 的 规则 比 对 与 (2) 程 序 与 档案 的 SELinux type 要 符合 才能 够 放行 。 前 一 个 小 节 
谈 的 是 SELinux 的 type ， 这 个 小 节 就 是 要 谈 一 下 政策 内 的 规则 嗓 ， 包括 如 何 查询 与 修改 相 
关 的 规则 放行 与 否 嚼 。 


e@ 政策 查阅 


CentOS 6.x 预 设 使 使 用 targeted 政策 ,那么 这 个 政策 提供 多 少 相 关 的 规则 呢 ? 此 时 可 以 透 过 
seinfo 来 查询 喔 ! 


[root@www ~]# yum install setools-console 

[root@www ~]# seinfo [-Atrub] 

选项 与 参数 : 

-A : 列 出 SELinux 的 状态 、 规 则 布尔 值 、 身 份 识别 、 角 色 、 类 别 等 所 有 信息 


-t : 列 出 SELinux 的 所 有 类 别 (type) 种 类 

-Fr  : 列 出 SELinux 的 所 有 角色 (role) 种 类 

-U : 列 出 SELinux 的 所 有 身份 识别 (user) 种 类 
-b  : 列 出 所 有 规则 的 种 类 (布尔 值 ) 


# 范例 一 : 列 出 SELinux 在 此 政策 下 的 统计 状态 

[root@www ~]# seinfo 

tatistics for policy file: /etc/selinux/targeted/policy/policy.24 
Policy Version & Type: v.24 (binary，mls) &lt;== 列 出 政策 所 在 档 与 版 本 


Classes: 77 Permissions: 229 
Sensitivities: 1 Categories: 1024 
Types: 3076 Attributes : 251 
Users: 9 Roles: 13 
Booleans: 173 Cond. Expr.: 208 
Allow: 271307 Neverallow: 0 
Auditallow: 44 Dontaudit: 163738 
Type_trans: 10941 Type_change : 38 
Type_member : 44 Role allow: 20 
Role_trans : 241 Range_trans: 2590 
人 本 本 二 


# 从 上 面 我 们 可 以 看 到 这 个 政策 是 targeted ， 此 政策 的 SELinux type 有 3076 个 ; 
# 而 针对 网 络 服务 的 规则 (Booleans) 共 制 订 了 173 条 规则 ! 


# 范例 二 : 列 出 与 httpd 有 关 的 规则 (booleans) 有 哪些 ? 
[root@www ~]# seinfo -b &#124; grep httpd 
Conditional Booleans: 173 
allow_httpd_mod_auth_pam 
httpd_setrlimit 
httpd_enable_ ftp_server 
国生 于 
# 你 可 以 看 到 ， 有 非常 多 的 与 httpd 有 关 的 规则 订 定 呢 ! 





从 上 面 我 们 可 以 看 到 与 httpd 有 关 的 布尔 值 ， 同样 的 ， 如 果 你 想 要 找到 有 httpd 字样 的 安全 性 
本 文 类 别 时 ， 就 可 以 使 用 『 seinfo -t | grep httpd 」 来 查询 了 |! 如 果 查 询 到 相关 的 类 别 或 者 是 
布尔 值 后 ， 想 要 知道 详细 的 规则 时 ， 就 得 要 使 用 sesearch 这 个 指令 了 |! 


[root@www ~]# sesearch [--all] [-s 主体 类 别 ] [-t 目标 类 别 ] [-b 布尔 值 ] 
选项 与 参数 : 

--all  : 列 出 该 类 别 或 布尔 值 的 所 有 相关 信息 

-t :后面 还 要 接 类 别 ， 例 如 -t httpd_t 

-b :后 面 还 要 接 布 尔 值 的 规则 ， 例 如 -b httpd_enable_ftp_server 


# 范例 一 : 找 出 目标 档案 资源 类 别 为 httpd_sys_content_t 的 有 关 信 息 
[root@www ~]# sesearch --all -t httpd_sys_content_t 
Found 683 semantic av rules: 
allow avahi_t file type : filesystem getattr ， 
allow corosync_t file_ type : filesystem getattr ， 
allow munin_system plugin_t file type : filesystem getattr ， 
. . (底下 省 略 ) ,... 
# 『 allow 主体 程序 安全 性 本 文 类 别 ”目标 档案 安全 性 本 文 类 别 J 
# 如 上 ， 说 明 这 个 类 别 可 以 被 那个 主题 程序 的 类 别 所 读 取 ， 以 及 目标 档案 资源 的 格式 。 





你 可 以 很 轻易 的 查询 到 某 个 主体 程序 (subject) 可 以 读 取 的 目标 档案 资源 (Object)。 那 如 果 是 
布尔 值 呢 ? 里 面 又 规范 了 什么 ?让 我 们 来 看 看 先 : 


# 范例 三 : 我 知道 有 个 布尔 值 为 httpd_enable_homedirs ， 请 问 该 布尔 值 规范 多 少 规则 ? 

[root@www ~]# sesearch -b httpd_enable homedirs --all 

Found 43 semantic av rules: 
allow httpd_user_script_t user_home dir t : dir { getattr search open }，; 
allow httpd_sys_script_t user_home dir t : dir { ioctl read getattr }.; 
. . (后 面 省 略 ) , ，,， 








从 这 个 布尔 值 的 设 定 我 们 可 以 看 到 里 面 规范 了 非常 多 的 主体 程序 与 目标 档案 资源 的 放行 与 

否 ! 所 以 你 知道 了 ， 实 际 规范 这 些 规则 和 ， 就 是 布尔 值 的 项 目 啦 ! 那 也 就 是 我 们 之 前 所 说 的 
es 对 茶 些 目标 档案 进行 存 取 ， 与 这 个 布尔 值 非常 有 关系 喔 ! 

因为 布尔 值 可 以 将 规则 设 定 为 启动 (1) 或 者 是 关闭 (0) 啦 |! 


。 布尔 值 的 查询 与 修改 


上 面 我 们 透 过 sesearch 知道 了 ， 其 实 Subject 与 Object 能 否 有 存 取 的 权限 ， 是 与 布尔 值 有 
关 的 ， 那 么 系统 有 多 少 布尔 值 可 以 透 过 seinfo -b 来 查询 ， 人 但， 每 个 布尔 值 是 启动 的 还 是 关闭 
的 呢 ? 这 就 来 查询 看 看 吧 : 


[root@www ~]# getsebool [-a] [布尔 值 条 款 ] 
选项 与 参数 : 
-a : 列 出 目前 系统 上 面 的 所 有 布尔 值 条 款 设 定 为 开启 或 关闭 值 


# 范例 一 : 查询 本 系统 内 所 有 的 布尔 值 设 定 状 况 

[root@www ~]# getsebool -a 

abrt_anon write --&gt; off 

allow_console _ login --&gt; on 

allow_cvs_read_ shadow --&gt,; off 
i 略 ) ,， 

# 您 瞧 1 这 就 告诉 你 目 前 的 布尔 值 状态 嘿 ! 


那么 如 果 查 询 到 某 个 布尔 值 ， 并且 以 sesearch 知道 该 布尔 值 的 用 途 后 ， 想 要 关闭 或 启动 他 ， 
又 该 如 何 处置 ? 


[root@www ~]# setsebool [-P] 布尔 值 =[0&#124;1] 

选项 与 参数 : 

-P :直接 将 设 定 值 写 入 配置 文件 ， 该 设 定数 据 未 来 会 生效 的 ! 

# 范例 一 : 查询 httpd_enable_homedirs 是 否 为 on， 若 不 为 on 请 启动 他 |! 
[root@www ~]# getsebool httpd_enable_homedirs 
httpd_enable_homedirs --&gt; off &lt;== 结 果 是 off ， 依 题 意 给 他 启动 ! 


[root@www ~]# setsebool -P httpd_enable_ homedirs=1 
[root@www ~]# getsebool httpd_enable_ homedirs 
httpd_enable_homedirs --&gt; on 


这 个 setsebool 最 好 记得 一 定 要 加 上 -P 的 选项 ! 因为 这 样 才 能 将 此 设 定 写 入 配置 文件 ! 这 是 
非常 棒 的 工具 组 ! 你 一 定 要 知道 如 何 使 用 getsebool 与 setsebool 才 行 ! 


7.4.5 SELinux 登录 文件 记录 所 需 服 务 


上 述 的 指令 功能 当中 ， 尤 其 是 setsebool, chcon, restorecon 等 ， 都 是 为 了 当 你 的 茶 些 网 络 服 
务 无 法 正常 提供 相关 功能 时 ， 才 需要 进行 修改 的 一 些 指 令 动作 。 但 是 ， 我们 怎么 知道 哪个 时 
候 才 需要 进行 这 些 指令 的 修改 啊 ? 我们 怎么 知道 系统 因为 SELinux 的 问题 导致 网 络 服务 不 对 
劲 啊 ? 如 果 都 要 靠 客户 端 联机 失败 才 来 圈 诉 ， 那 也 太 没 有 效率 了 ! 所 以 ， 我 们 的 CentOS 6.x 
有 提供 几 支 侦 测 的 服务 在 登录 SELinux 产生 的 错误 喔 ! 那 就 是 auditd 与 setroubleshootd 。 


。 setroubleshoot --> 错误 讯息 写 入 /varlog/messages 


几乎 所 有 SELinux 相关 的 程序 都 会 以 se 为 开头 ， 这 个 服务 也 是 以 se 为 开头 ! 而 
troubleshoot 大 家 都 知道 是 错误 克服 ， 因 此 这 个 setroubleshoot 自然 就 得 要 启动 他 啦 ! 这 个 
服务 会 将 关于 SELinux 的 错误 讯息 与 克服 方法 记录 到 /var/log/messages 与 
/var/log/setroubleshoot/* 里 头 ， 所 以 你 一 定 得 要 启动 这 个 服务 才 好 。 启 动 这 个 服务 之 前 当然 
就 是 得 要 安装 它 啦 ! 这 玩意 儿 总 共 需 要 两 个 软件 ， 分 别 是 setroublshoot 与 setroubleshoot- 
server， 如 果 你 没有 安装 ， 请 自行 使 用 yum 安装 吧 ! 


此 外 ， 原 本 的 SELinux 信息 本 来 是 以 两 个 服务 来 记录 的 ， 分 别 是 auditd 与 
setroubleshootd。 既 然 是 同样 的 信息 ， 因 此 CentOS 6.x 将 两 者 整合 在 auditd 当中 啦 ! 所 
以 ， 并 没有 setroubleshootd 的 服务 存在 了 喔 ! 因此 ， 当 你 安装 好 了 setroubleshoot-server 
之 后 ， 请 记得 要 重新 户 动 auditd， 和 否则 setroubleshootd 的 功能 不 会 被 启动 的 。 


[root@www ~]# yum install setroubleshoot setroubleshoot-server 
[root@www ~]# /etc/init.d/auditd restart &lLt;== 整 合 到 auditd 当中 了 |! 


Tips: 事实 上 ，CentOS 6.x 对 setroubleshootd 的 运作 方式 是 : (1) 先 由 auditd 去 呼叫 
audispd 服务 ，(2) 然 后 audispd 服务 去 启动 sedispatch 程序 ，(3)sedispatch 再 将 原本 的 
auditd 讯息 转 成 setroubleshootd 的 讯息 ， 进 一 步 储 存 下 来 的 ! 





那么 如 果 有 发 生 错误 时 ， 讯 息 像 什么 呢 ? 我 们 使 用 httpd 这 支 程序 产生 的 错误 来 说 明 好 了 。 假 
设 你 需要 启动 NWW 服务 器 ， 我 们 的 WWW 是 由 httpd 这 支 服务 提供 的 ， 因 此 你 必须 要 安装 
且 启 动 它 才 行 : 


[root@www ~]# /etc/init.d/httpd start 

[root@www a 和 -tlinp &#124; grep http 

tcp 0 :80 入 LISTEN 2218/httpd 
# 看 到 没 7 80 了 |! 这 是 重点 | 





这 个 时 候 我 们 的 WWW 服务 器 就 安装 妥当 了 。 我 们 的 首页 其 实 是 放置 到 /varwww/html 目录 
下 的 ， 且 文件 名 必须 要 是 index.html。 那 如 果 我 使 用 底下 的 模式 来 进行 首页 的 处 理 时 ， 可 能 
就 会 产生 SELinux 的 问题 了 ! 我 们 就 来 模拟 一 下 出 问题 的 状况 吧 ! 


[root@www ~]# echo "My first selinux check" &gt; index.html 

[root@www ~]# 11 index.html 

-rw-r--r--. 1 root root 23 2011-07-20 18:16 index.html &lt;== 权 限 没 问题 
[root@www ~]# mv index.html /var/www/html 


此 时 我 们 就 可 以 打开 浏览 器 ， 然 后 在 浏览 器 上 面 输 入 Linux 自己 的 IP 来 查 察看 ， 看 能 不 能 连 
上 自己 的 WWW 首页 。 因为 我 们 这 次 安装 并 没有 图 形 接口 ， 所 以 使 用 links 来 查 察 
http://localhost/index.html 看 看 ! 你 会 得 到 如 下 的 讯息 : 


[root@www ~]# links http://localhost/index.html -dump 
Forbidden 


You don't have permission to access /index.html on this server. 


Apache/2.2.15 (CentOS) Server at localhost Port 80 


画面 最 明显 的 地 方 就 是 告诉 你 ， 你 并 没有 权限 可 以 存 取 index.html 的 ! 见鬼 了 ! 明明 权限 是 
对 的 喔 ! 那 怎 办 ? 没关系 ， 就 透 过 setroubleshoot 的 功能 去 检查 看 看 。 此 时 请 分 析 一 下 
/Var/log/messages 的 内 容 吧 ! 有 点 像 这 样 


[root@www ~]# cat /var/log/messages &#124; grep setroubleshoot 

JUul 21 14:53:20 www setroubleshoot: SELinux is preventing /usr/sbin/httpd 
"getattr" access to /var/ww/html/index.html. For complete SELinux messages. 
run sealert - 6c927892-2469-4fcc-8568-949dagb4cf8d 


上 面 的 错误 讯息 可 是 同一 行 喔 ! 大 纲 说 的 是 『SElinux 被 用 来 避免 httpd 读 取 到 错误 的 安全 性 
本 文 ， 想 要 查阅 完整 的 数据 ， 请 执行 sealert -| ...」 没 错 ! 你 注意 到 了 ! 重点 就 是 sealert -| 
啦 1 上面 提供 的 信息 并 不 完整 ， 想 要 更 完整 的 说 明 得 要 靠 sealert 配合 侦 测 到 的 错误 代码 来 处 


理 。 实际 处 理 后 会 像 这 样 : 


[root@www ~]# sealert -1 6c927892-2469-4fcc-8568-949da0b4cf8d 
Summary: 


SELinux is preventing es "getattr" access to 
/var/www/html/index.html. &1t ; == 刚刚 在 messages 里 面 看 到 的 信息 ! 


Detailed Description: &1t ; == 接 下 来 是 详细 的 状况 解析 ! 要 看 喔 ! 


SELinux denied access requested by httpd. /var/www/html/index.html may 
be a mislabeled. /var/www/html/index.html default SELinux type is 
httpd_sys_content_t, but its current type is admin_ home_t. Changing 
this file back to the default type, may fix your problem. 

, (中 间 省 略 ) ,,,， 


Allowing Access: &1t;== 超 重要 的 项 目 ! 要 看 要 看 ! 


You can restore the default system context to this file by executing the 
restorecon command. restorecon '/var/www/html/index.html', if this file 
is a directory, you can recursively restore using restorecon -R 
'/var/www/html/index.html'. 


Fix Command: 
/sbin/restorecon '/var/www/html/index.html' &lt;== 知 道 如 何 解 决 了 吗 ? 


Additional Information: &lLt;== 还 有 一 些 额外 的 信息 ! 
.( 底 下 省 略 )...， 


[root@www ~]# restorecon -Rv '/var/www/html/index.html' 
restorecon reset /var/ww/html/index.html context unconfined u:object_r: 
admin_home_t:s0-&gt;system u:object_r:httpd_sys_content_t:s0 


重点 就 是 上 面 特殊 字体 显示 的 地 方 ! 你 只 要 照 着 『Allowing AccessJ」 里 面 的 提示 去 进行 处 
理 ， 就 能 够 完成 你 的 SELinux 类 型 设 定 了 ! 比 对 刚刚 我 们 上 个 小 节 提 到 的 restorecon 与 
chcon 你 就 能 够 知道 ，setroubleshoot 提供 的 讯息 有 多 有 效 了 吧 ! 不 管 出 了 哈 SELinux 的 问 
题 ， 绝 大 部 分 在 setroubleshoot 的 服务 中 就 会 告诉 你 解决 之 道 ! 所 以 ， 很 多 东西 都 不 用 背 
的 | 


e。 用 email 或 在 指令 列 上 面 直接 提供 setroubleshoot 错误 讯息 


如 果 每 次 测试 都 得 要 到 /var/log/messages 去 分 析 ， 那 点 是 挺 麻 烦 的 响 | 没关系， 我 们 可 以 透 
过 email 或 console 的 方式 来 将 信息 产生 ! 也 就 是 说 ， 我 们 可 以 让 setroubleshoot 主动 的 发 

送 产 生 的 信息 到 我 们 指定 的 email， 这 样 可 以 方便 我 们 实时 的 分 析 喔 ! 怎么 办 到 ? 就 修改 
setroubleshoot 的 配置 文件 即 可 。 你 可 以 查阅 /etc/setroubleshoot/setroubleshoot.cfg 这 个 档 
案 的 内 容 ， 我 们 只 需要 修改 的 地 方 如 下 : 


[root@www ~]# vim /etc/setroubleshoot/setroubleshoot.cfg 

[email] 

# 大 约 在 81 行 左右 ， 这 行 要 存在 才 行 ! 

recipients_filepath = /var/lib/setroubleshoot/email alert_recipients 


# 大 约 在 147 行 左右 ， 将 原本 的 False 修改 成 True 先 ! 
console = True 


[root@www ~]# vim /var/lib/setroubleshoot/email alert_recipients 
root@localhost 
your@email.address 


[root@www ~]# /etc/init.d/auditd restart 


之 后 你 就 可 以 透 过 分 析 你 的 email 来 取得 SELinux 的 错误 讯息 史 ! 非常 的 简单 吧 ! 只 是 要 注 
意 ， 上 述 的 填写 email 的 档案 中 ， 不 能 只 写 账 号 ， 你 要 连同 @localhost 都 写 上 ， 这 样本 机 上 
面 的 root 才能 收 到 信件 喔 ! 就 这 么 简单 哩 1 ^ 人 ^ 


e SELinux 错误 克服 的 总 结 


我 们 来 简单 的 做 个 总 结 吧 ! 因为 你 的 网 络 联机 要 通过 SELinux 才 的 权限 判定 后 才能 够 继续 
rwx 的 权限 比 对 。 而 SELinux 的 比 对 主要 又 分 为 : (1) 需 要 通过 政策 的 各 项 规则 比 对 后 (2) 才 
能 够 进行 SELinux type 安全 性 本 文 的 比 对 ， 这 两 项 工作 都 得 要 正确 才 行 。 而 后 续 的 SELinux 
修改 主要 是 透 过 chcon, restorecon, setsebool 等 指令 来 处 理 的。 但 是 如 何 处 理 呢 ? 可 以 透 过 
分 析 /varlog/messages 内 提供 的 setroubleshoot 的 信息 来 处 置 ! 这 样 就 很 轻松 的 可 以 管理 你 
的 SELinux " 罗 ! 


但 是 如 果 因 为 某 些 原因 ， 举 例 来 说 CentOS 没有 规范 到 的 setroubleshoot 信息 时 ， 可 能 你 还 


是 无 法 了 解 到 事情 到 底 是 哪里 出 错 。 那 此 时 我 们 会 这 样 建议 : 


1. 在 服务 与 rwx 权限 都 没有 问题 ， 却 无 法 成 功 的 使 用 网 络 服务 时 ; 

2， 先 使 用 setenforce 0 设 定 为 宽容 模式 ; 

3. 再 次 使 用 该 网 络 服务 ， 如 果 这 样 就 能 用 ， 表 示 SELinux 出 问题 ， 请 往 下 继续 处 理 。 如 果 
这 样 还 不 能 用 ， 那 问题 就 不 是 在 SELinux 上 面 ! 请 再 找 其 他 解决 方法 ， 底 下 的 动作 不 适 
合 你 ; 

4. 分 析 /varlog/messages 内 的 信息 ， 找 到 sealert -| 相关 的 信息 并 且 执 行 ; 

5， 找 到 Allow Access 的 关键 词 ， 照 里 面 的 动作 来 进行 SELinux 的 错误 克服 ; 

6. 处 理 完毕 重新 setenforce 1 ， 再 次 测试 网 络 服务 吧 ! 


这 样 就 能 够 很 轻松 的 管理 你 的 SELinux 啦 ! 不 需要 想 太 多 | 分 析 登 录 档 就 对 啦 ! 


Tips: 当 鸟 哥 第 一 次 修改 这 个 SELinux 的 部 分 时 ， 在 sealert 的 部 分 一 直 出 现 错误 ， 信 息 为 : 

query_alert error (1003)... 后 来 经 过 更 新 软件 后 ， 又 发 现 无 法 以 UTF8 进行 文字 译 码 的 问题 ! 
实在 伤 脑筋 一 最 后 还 是 修改 了 /etc/sysconfig/i18n 将 里 面 的 数据 设 定 为 : LANG=en_US 并 且 
重新 启动 ， 才 顺利 恢复 sealert 的 信息 说 明 ! 站 的 是 很 怪异 ! 
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7.5 被 攻击 后 的 主机 修复 工作 


如 果 你 的 主机 被 攻击 而 被 取得 操纵 权 的 话 ， 而 你 也 由 于 了 解 到 主机 监控 的 需要 ， 所 以 在 最 短 
的 时 间 内 发 现 此 一 事件 ， 那 么 该 如 何 针 对 这 个 被 入 侵 的 主机 来 修复 ? 那 如 果 你 要 修复 的 话 ， 
你 这 个 网 管 人 员 还 需要 哪些 额外 的 技能 ? 底下 我 们 就 来 谈 一 谈 。 


7.5.1 网 管 人 员 应 具备 的 技能 


从 本 章 第 一 小 节 的 分 析 当 中 ， 你 会 发 现 网 管 还 站 的 是 插 累 的 ， 他 需要 对 操作 系统 有 一 定 程 度 
的 熟悉 ， 对 于 程序 的 运作 与 权限 概念 则 需要 更 了 解 ， 否 则 就 麻烦 了 ! 那 除了 操作 系统 的 基本 
概念 之 外 ， 咱 们 网 管 还 需要 啥 特殊 技巧 呢 ? 当然 需要 啊 ! 其 实 一 部 主机 最 常 发 生 问 题 的 状 

况 ， 都 是 由 『 内 部 的 网 络 误 用 所 产生 的 」$， 所 以 啊 ， 你 只 管 好 主机 而 已 是 『 没 有 办 法 杜绝 问 
题 」 的 啦 上 底下 就 来 谈 谈 你 还 需要 啥 技巧 呢 ? 


。 了 解 什么 是 需要 保护 的 内 容 : 


我 的 天 呐 ， 还 要 知道 什么 是 需要 保护 的 呀 ? 没 错 ， 就 是 如 此 ! 由 刚刚 我 们 知道 的 主机 入 
侵 方法 当中 ， 不 难 了 解 ， 只 要 有 人 坐 在 你 的 主机 前 面 ， 那 么 任何 事 都 有 可 能 会 发 生 ! 
此 ， 如 果 你 的 主机 相当 的 重要 ， 请 了 不 要 让 任何 人 靠近 1 」 你 可 以 参考 一 下 汤姆 克 鲁 斯 
在 『 不 可 能 的 任务 4 里 面 要 穷 取 一 部 计算 机 内 的 数据 的 困难 度 | 人 人" 


o 硬件 : 能 锁 就 锁 吧 ! 
o 软件 : 还 包含 最 重要 的 数据 呢 ! 
。 预防 黑客 (Black hats) 的 入 侵 : 


这 可 不 是 开玩笑 的 ， 件 么 是 黑客 呀 ! 这 是 因为 原本 在 西部 电影 当中 ， 坏 人 都 是 戴 黑 色 帆 

子 的 ， 所 以 之 前 的 人 们 就 称 网 络 攻击 者 为 Black hats 啦 ! 在 预防 这 方面 的 攻击 者 时 ， 除 
了 严格 管制 网 络 的 登入 之 外 ， 还 需要 特别 控制 原本 你 的 主机 中 的 人 物 ! 就 我 们 小 网 站 来 
说 ， 不 要 以 为 好 朋友 就 随便 他 啦 ! 他 说 要 指定 密码 是 跟 他 的 账号 相同 比较 好 记 ， 你 就 答 
应 他 ! 等 到 人 家 用 他 的 密码 登入 你 的 主机 ， 并 破坏 你 的 主机 ， 那 可 就 得 不 偿 失 了 ! 如 果 
是 大 企业 的 话 ， 那 么 员工 使 用 网 络 时 ， 也 要 分 等 级 的 呢 | ^ 人 和 ^ 


e 主机 环境 安全 化 : 


没什么 好 讲 的 ， 除 了 多 关心 ， 还 是 多 关心 ! 仔细 的 分 析 登 录 档 ， 常 常 上 网 看 看 最 新 的 安 
全 通告 ， 这 都 是 最 基础 的 ! 还 包含 了 以 最 快 的 速度 更 新 有 问题 的 软件 ! 因为 ， 越 快 更 新 
你 的 软件 ， 就 越 快 可 以 杜绝 黑客 的 入 侵 ! 


e 防火 墙 规 则 的 订 定 : 


这 部 份 比较 麻烦 一 些 啦 ! 因为 你 必需 要 不 断 的 测试 测试 再 测试 ! 以 取得 优化 的 网 络 安全 
设 定 ! 怎么 说 呢 ? 要 晓得 的 是 ， 如 果 你 的 防火 墙 规则 订 定 得 太 多 的 时 候 ， 那 么 一 个 数据 
封包 就 要 经 过 越 多 的 关卡 才能 完整 的 通过 防火 墙 ， 以 进入 到 主机 内 部 ! 嘿嘿 1 这 可 是 相 
当 的 花费 时 间 的 ! 会 造成 主机 的 效能 不 彰 ! 特别 留意 这 一 点 呢 ! 

。 实时 维护 你 的 主机 : 
就 像 刚刚 说 的 ， 你 必需 要 随时 维护 你 的 主机 ， 因 为 ， 防 火 墙 不 是 一 经 设 定之 后 就 不 用 在 
再 他 了 ! 因为 ， 再 严密 的 防火 墙 ， 也 会 有 漏洞 的 ! 这 些 漏洞 包括 防火 规则 设 定 不 良 、 利 
用 较 新 的 侦 测 入 侵 技术 、 利 用 你 的 占 软 件 的 服务 漏洞 等 等 ! 所 以 ， 必 需要 实时 维护 你 的 
主机 呀 ! 这 方面 除了 分 析 log files 之 外 ， 也 可 以 藉 由 实时 侦 测 来 进行 这 个 工作 ! 例如 
PortSentry 就 是 变 不 错 的 一 套 软件 呢 |! 


良好 的 教育 训练 课程 : 


不 是 所 有 的 人 都 是 计算 机 网 络 高 手 ， 尤 其 虽然 现在 信息 爆炸 但 是 仍然 有 很 多 的 机 会 会 遇 
到 计算 机 白 病 呀 ! 这 个 时 候 ， 要 晓得 的 是 ， 我 们 对 于 内 部 网 域 通常 没有 太 多 的 规范 ， 那 
如 果 他 用 内 部 的 计算 机 去 做 坏事 怎么 办 ? 有 时 候 还 是 无 心 的 一 挖 哩 一 所 以 说 ， 需 要 特别 
的 教育 训练 课程 呀 ! 这 也 是 公司 需要 网 管 的 主因 之 一 ! 


。 完善 的 备份 计划 : 


天 有 不 测 风云 ， 人 有 旦 夕 福 福 呀 ! 什么 人 都 不 知道 什么 时 候 会 有 大 地 震 、 我 们 也 都 不 知 
道 什么 时 候 会 突然 的 硬盘 挂 掉 去 ~ 所 以 说 ， 完 善 的 备份 计划 是 相当 重要 的 ! 此 外 ， 大 概 
没有 人 会 说 他 的 主机 是 100% 的 安全 吧 ! 那 如 果 你 的 系统 被 入 侵 ， 造 成 数据 的 损毁 时 ， 
你 要 如 何 复原 你 的 主机 啊 ? 呵呵 | 一 个 良好 的 网 站 管理 人 员 ， 无 时 无 刻 都 会 进行 重要 数 
据 的 备份 的 ! 很 重要 啊 ! 这 一 部 份 请 参考 一 下 基础 学 习 篇 之 Linux 主机 备份 的 内 容 吧 ! 
我 们 在 后 面 的 远程 联机 服务 器 章节 内 也 会 提 到 一 个 很 棒 的 rsync 工具 ， 你 可 以 瞧 瞧 |! 


7.5.2 主机 受 攻 击 后 复原 工作 流程 


所 谓 『 百 密 一 疏 」 啊 ， 人 不 是 神 ， 总 会 有 考虑 不 周 的 情况 ， 万 一 你 的 主机 就 因为 这 『 一 疏 J 
导致 被 入 侵 了 ， 那 该 怎么 办 ? 由 上 面 的 说 明 当 中 ， 我 们 知道 『 木 马 J 是 很 严重 的 ， 因 为 他 会 
在 你 的 系统 下 开 个 后 门 (Back door) 让 攻击 者 可 以 登入 你 的 主机 ， 而 且 还 会 窜改 你 Linux 上 面 
的 程序 ， 让 你 找 不 到 该 木马 程序 | 怎么 办 ? 


很 多 朋友 都 习惯 『 反 正 只 要 将 root 的 密码 改 回来 就 好 了 J」 这 样 的 观点 ， 事 实 上 ， 和 那样 一 部 主 
机 还 是 有 被 做 为 中 继 站 的 危险 啊 |! 所 以 ， 万 一 你 的 主机 被 入 侵 了 ， 最 好 的 方法 还 是 『 重 新 安 
装 Linux J 会 比较 干净 ! 


那 该 如 何 重 新 安装 呢 ? 很 多 朋友 一 再 地 安装 ， 却 一 再 地 被 入 侵 ~ 为 什么 呢 ? 因为 他 没有 『 记 
取 教 训 4 啊 ! 呵呵 上 底下 我 们 就 来 谈 一 谈 ， 一 部 被 入 侵 的 主机 应 该 如 何 修 复 比 较 好 ? 


1. 立即 拔除 网 络 线 : 


既然 发 现 被 入 侵 了 ， 那 么 第 一 件 事情 就 是 拿 掉 网 络 功能 ! 拿 掉 网 络 功能 最 简单 的 作法 自 
然 就 是 拔 掉 网 络 线 了 ! 事实 上 ， 拿 掉 网 络 线 最 主要 的 功能 除了 保护 自己 之 外 ， 还 可 以 保 
护 同 网 域 的 其 他 主机 。 怎 么 说 呢 ? 举 个 2003 年 8 月 发 病 的 疾风 病毒 好 了 ， 他 会 感染 同 网 
域 之 内 的 其 他 主机 虽 ! 所以， 拔除 网 络 线 之 后 ， 远 程 的 攻击 者 立即 就 无 法 进入 你 的 Linux 
主机 ， 而 且 你 还 可 以 保护 网 域内 的 其 他 相关 主机 啊 ! 


2， 分析 登 录 文 件 信息 ， 搜 寻 可 能 的 入 侵 途 径 : 


被 入 侵 之 后 ， 决 不 是 只 要 重新 安装 就 好 ， 还 需要 额外 分 析 『 为 什么 我 的 主机 这 一 次 会 被 
入 侵 ， 对 方 是 如 何 入 侵 的 ?4 ， 如 果 你 能 够 找 出 问题 点 ， 那 么 不 但 你 的 Linux 功力 立刻 
增强 了 ， 主 机 也 会 越 来 越 安全 喔 | 而 如 果 你 不 知道 如 何 找 出 被 入 侵 的 可 能 途径 ， 那 么 重 
新 安装 后 ， 下 次 还 是 可 能 被 以 同样 的 方法 入 侵 啊 | 粉 麻烦 的 叭 | 好 了 ， 那 该 如 何 找 出 入 
侵 的 途径 呢 ? 


o 分 析 登 录 档 : 低级 的 cracker 通常 仅 是 利用 工具 软件 来 入 侵 你 的 系统 ， 所 以 我 们 可 以 
藉 由 分 析 一 些 主要 的 登录 档 来 找 出 对 方 的 IP 以 及 可 能 有 问题 的 漏洞 。 可 以 分 析 
/var/log/messages, /var/log/secure 还 有 利用 last 指令 来 找 出 上 次 登入 者 的 信息 。 


检查 主机 开放 的 服务 : 很 多 Linux 用 户 常 常 不 晓得 自己 的 系统 上 面 开 了 多 少 的 服 

务 ? 我 们 说 过 ， 每 个 服务 都 有 其 漏洞 或 者 是 不 应 该 启用 的 增强 型 或 者 是 测试 型 功 
能 ， 所 以 ， 找 出 你 系统 上 面 的 服务 ， 并 且 检 查 一 下 每 个 服务 是 否 有 漏洞 ， 或 者 是 在 
设 定 上 面 有 了 缺失 ， 然 后 一 个 一 个 的 整理 吧 ! 


O 


查询 Internet 上 面 的 安全 通报 : 透 过 安全 通报 来 了 解 一 下 最 新 的 漏洞 信息 ， 说 不 定 
你 的 问题 就 在 上 面 ! 


O 


3， 重 要 数据 备份 : 


主机 被 入 侵 后 ， 显 得 问题 相当 的 严重 ， 为 什么 呢 ? 因为 主机 上 面 有 相当 重要 的 数据 啊 ! 
如 果 主 机 上 面 没 有 重要 的 数据 ， 那 么 直接 重新 安装 就 好 了 | 所 以 ， 被 入 侵 之 后 ， 检 查 完 
了 入 侵 人 途径， 再 来 就 是 要 备份 重要 的 数据 了 。 好 了 ， 问 个 问题 ， 什 么 是 『 重 要 数据 上 2? 
who, ps, ls 等 等 指令 是 重要 数据 吗 ? 还 是 httpd.conf 等 配置 文件 是 重要 数据 ? 又 或 者 是 
/etc/passwd, /etc/shadow 才 是 重要 数据 ? 

呵呵 | 基本 上 ， 重 要 的 数据 应 该 是 『 非 Linux 系统 上 面 原 有 的 数据 J」 ， 例 如 /etc/passwd， 
/etc/shadow, WWW 网 页 的 数据 , /home 里 面 的 使 用 者 重要 档案 等 等 ， 至 于 /etc/*, /usr/， 
/Var 等 目录 下 的 数据 ， 就 不 见得 需要 备份 了 。 注意 : 不 要 备份 一 些 binary 执行 文件 ， 
为 Linux 系统 安装 完毕 后 本 来 就 有 这 些 档 案 ， 此 外 ， 这 些 档 案 也 很 有 可 能 『 已 经 被 审改 
过 了 4 ， 那 备份 这 些 数据 ， 反 而 造成 下 次 系统 还 是 不 干净 ! 


4.， 重新 全 新 安装 : 


备份 完了 数据 ， 再 来 就 是 重新 安装 Linux 系统 了 。 而 在 这 次 的 安装 中 ， 你 最 好 选择 适合 
你 自己 的 安装 软件 即 可 ， 不 要 全 部 软件 都 给 他 安装 上 去 啊 ! 担 危 险 的 ! 


5， 软 件 的 漏洞 修补 : 


记得 啊 ， 重 新 安装 完毕 之 后 ， 请 立即 更 新 你 的 系统 软件 ， 否 则 还 是 会 被 入 侵 的 啦 ! 乌 哥 
喜欢 先 在 其 他 比较 干净 的 环境 下 将 Internet 上 面 的 漏洞 修补 软件 下 载 下 来 ， 然 后 刻录 起 
来 ， 然 后 拿 到 自己 的 刚刚 安装 完成 的 系统 上 面 ，mount CD 之 后 全 部 给 他 更 新 ， 更 新 之 
后 ， 并 且 设 定 了 相关 的 防火 墙 机 制 ， 同 时 进行 下 一 步骤 『 关闭 或 移 除 不 需要 的 服务 4 
后 ， 我 才 将 网 络 线 持 上 主机 的 网 络 卡 上 ! 因为 鸟 哥 不 敢 确 定 在 安装 完毕 后 ， 连 上 
Internet 去 更 新 软件 的 这 段 时 间 ， 会 不 会 又 受到 入 侵 攻 击 说 ..…. 


6. 关闭 或 移 除 不 需要 的 服务 : 


这 个 重要 性 不 需要 再 讲 了 吧 ? ! 启用 越 少 的 服务 ， 系 统 当 然 可 以 被 入 侵 的 可 能 性 就 比较 
低 。 


7. 数据 回复 与 恢复 服务 设 定 : 


刚刚 备份 的 数据 要 赶紧 的 复制 回来 系统 ， 同 时 将 系统 的 服务 再 次 的 重新 开放 ， 请 注意 ， 
这 些 服 务 的 设 定 最 好 能 够 再 次 的 确认 一 下 ， 避 免 一 些 不 恰当 的 设 定 参 数 在 里 头 喔 ! 


8. 连 上 Internet : 


所 有 的 工作 都 进行 的 差不多 了 ， 那 么 才 将 刚刚 拿 掉 的 网 络 线 接 上 来 吧 ! 恢复 主机 的 运作 
了 人 


经 过 这 一 连 串 的 动作 后 ， 你 的 主机 应 该 会 恢复 到 比较 干净 的 环境 ， 此 时 还 不 能 掉以轻心 ， 最 
好 还 是 参考 防火 墙 的 设 定 ， 并 且 多 方面 的 参考 Internet 上 面 一 些 老手 的 经 验 ， 好 让 你 的 主机 
可 以 更 安全 一 些 ! 


7.6 重点 回顾 


。 要 管制 登入 服务 器 的 来 源 主 机 ， 得 要 了 解 网 络 封包 的 特性 ， 这 主要 包括 TCP/IP 的 封包 协 
议 ， 以 及 重要 的 Socket Pair ， 亦 即 来 源 与 目标 的 IP 与 port 等 。 在 TCP 封包 方面 ， 则 
还 得 了 解 SYN/ACK 等 封包 状态 ; 

。 网 络 封包 要 进入 我 们 Linux 本 机 ， 至 少 需要 通过 (1) 防 火 墙 (2) 服 务 本 身 的 管理 
(3)SELinux (4) 取 得 档案 的 rwx 权限 等 步骤 ; 

e。 主机 的 基本 保护 之 一 ， 就 是 拥有 正确 的 权限 设 定 。 而 复杂 的 权限 设 定 可 以 利用 ACL 或 者 
是 SELinux 来 辅助 ; 

。 关闭 SELinux 可 在 /etc/selinux/config 档案 内 设 定 ， 亦 可 在 核心 功能 中 加 入 selinux=0 的 


项 目 ; 
e@ rootkit 为 一 种 取得 root 的 工具 组 ， 你 可 以 利用 rkhunter 来 查询 你 主机 是 否 被 植 入 
rootkit ; 


e@ 网 管 人 员 应 该 注意 在 员工 的 教育 训练 还 有 主机 的 完善 备份 方案 上 面 ; 

。 一 些 所 谓 的 黑客 软件 ， 几 乎 都 是 透 过 你 的 Linux 上 面 的 软件 漏洞 来 攻击 Linux 主机 的 ; 
e 软件 升级 是 预防 被 入 侵 的 最 有 效 方 法 之 一 ; 

e 良好 的 登录 档 分 析 习 惯 可 以 在 短 时 间 内 发 现 系 统 的 漏洞 ， 并 加 以 修复 。 


7.7 课 后 练习 


我 老 是 发 现 我 的 系统 怪 怪 的 ， 似 乎 有 点 停顿 的 模样 ， 怀 疑 可 能 是 CPU 负荷 太 大 ， 所 以 要 
去 检查 一 下 系统 相关 的 信息 。 请 问 ， 我 该 以 什么 指令 去 检查 我 的 系统 相关 的 信息 ? 可 以 
使 用 top, sar, free, ps -aux, uptime, last 等 功能 去 查询 系统 的 相关 信息 喔 ! 然后 再 以 kill 
之 类 的 指令 删除 ; 

我 怀疑 我 的 系统 上 面 有 过 多 的 具有 SUID 的 档案 存在 ， 寻 致 一 般 使 用 者 可 以 随意 的 取得 
root 的 权限 ， 请 问 ， 我 要 如 何 找 出 这 些 具 有 SUID 权限 的 档案 ? 因为 SUID 是 4000 这 个 
权限 的 模样 ， 所 以 我 可 以 这 样 做 : find / -perm +4000 

我 由 国内 一 些 ftp 网 站 上 下 载 了 Red Hat 公司 释 出 的 软件 ， 我 想 安 装 他 ， 但 又 不 知道 该 软 
件 档案 是 否 被 修改 过 1! 请 问 我 该 如 何 确定 这 个 软件 的 可 用 性 ?利用 最 简 多 的 MD5 编码 
来 测试 一 下 ， 例 如 『 md5sum 软件 名 称 J」， 再 比 对 与 原始 软件 释 出 的 MD5 数据 是 否 相 
同 1 ? 

如 果 我 发 现 使 用 『 setfacl -m u:dmtsai:rwx /path/to/file 」 时 ， 系 统 却 显示 『setfacl: 
Operation not supportedJ ， 你 认为 是 哪里 出 问题 ? 这 是 由 于 你 的 filesystem 没有 启用 
ACL 支持 ， 或 者 是 系统 的 核心 不 支持 。 请 先 使 用 mount -o remount,acl /mount_point 测 
试看 能 否 支 持 ACL ， 若 不 支持 时 ， 则 可 能 是 由 于 核心 版 本 太 旧 了 。 

如 果 要 设 定 dmtsai 可 以 使 用 /home/project 这 个 目录 (假设 /home 已 经 支持 ACL)， 在 该 
目录 内 dmtsai 可 以 拥有 完整 的 权限 。 请 问 该 如 何 设 定 该 目录 ?除了 使 用 setfacl -m 
u:dmtsai:rwx /home/project 之 外 ， 还 需要 设 定 setfacl -m m:rwx /home/project ， 因为 
ACL 在 目录 方面 ， 必 须 透 过 用 户 权力 及 mask 的 逻辑 运算 后 才能 生效 ! 

SELinux 是 否 为 防火 墙 ? SELinux 并 非 防火 墙 ， 他 是 用 来 作为 更 细部 权限 设 定 的 一 个 核 
心 模块 。 

良好 的 密码 规划 是 防备 主机 的 第 一 要 务 ， 请 问 Linux 系统 当中 ， 关 于 密码 相关 的 档案 与 
规则 设 定 在 哪些 档案 里 面 ? 密码 的 设 定 规则 在 /etc/login.defs 里 面 ! 至 于 密码 档案 在 
/etc/shadow 内 ! 

简 多 说 明 ， 当 一 部 主机 被 入 侵 之 后 ， 应 该 如 何 处 理 ? 找 出 问题 、 重 新 安装 、 漏 洞 修补 、 
数据 还 原 ! 请 参考 本 章 最 后 一 节 的 说 明 。 


7.8 参考 数据 与 延伸 阅读 


。 注 1: nmap 的 官方 网 站 : http://insecure.org/nmap/ 
Fedora 的 SELinux FAQ : http://fedora.redhat.com/docs/selinux-faq/ 
SELinux 的 发 展 网 站 : http://selinux.sourceforge.net/ 
。 Red Hat 之 RHEL 4 的 SELinux 指 
南 : http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux- 


guide/index.html 
e 美国 国家 安全 局 的 SELinux 简介 : http://www.nsa.gov/selinux/ 
e。 Rootkit hunter : http://www.rootkit.nl/projects/rootkit_hunter.html 


2002/08/12 : 第 一 次 完成 日 期 ! 2003/08/23 : 重新 编排 与 增加 重点 回顾 、 课 后 练习 
2006/08/31 : 将 目的 文章 移动 到 此 处 。 2006/09/06 : 增加 SELinux 的 简单 说 明 ， 增 加 ACL 
的 控件 目 ! 2010/09/06 : 将 目的 基于 CentOS 4.x 撰写 的 文章 移动 至 此 处 。 2010/09/09 : 
为 单纯 使 用 CentOS ， 因 此 取消 了 apt 的 更 新 功能 嘿 ! 2010/09/21 : 将 四 的 限制 联机 者 口 与 
网 络 升级 软件 挪动 到 新 的 目录 去 了 ! 2010/09/21 : 还 有 许多 数据 报 括 (1) 重 点 回顾 /(2) 课 后 练 
习 /(3) 延 伸 阅 读 的 部 分 都 还 没有 汇 整 好 。 只 是 先 公 告 这 一 版 而 已 。2011/07/20 : 将 基于 
CentOS 5.x 的 文章 移动 到 此 处 。2011/07/21 : SELinux 还 丨 是 怪异 啊 ! 修改 成 CentOS 6.x 
的 模样 啦 |! 


第 八 草 、 路 由 观念 与 路 由 器 设 定 


最 近 更 新 日 期 : 2011/07/22 


如 果 说 IP 是 门牌 ， 那 么 邮差 如 何 走 到 你 家 就 是 『 路 由 4 的 功能 啦 ! 局 域 网 络 如 果 想 成 是 条 巷 
子 ， 那 么 路 由 器 就 是 那 间 埠 子 内 的 邮局 ! 其 实 本 章 应 该 是 第 二 章 网 络 基础 的 延伸 ， 将 网 络 的 
设 定 延 伸 到 整个 区 网 的 路 由 器 上 而 已 。 那 何 时 会 用 到 路 由 器 ? 如 果 你 的 环境 中 需要 将 整 批 | 
再 区 隔 出 不 同 的 广播 区 段 时 ， 那 么 就 得 要 透 过 路 由 器 es 本 章 是 下 一 章 防 火 
墙 与 NAT 的 基础 ， 得 先 看 完 才 比较 容易 理解 下 一 章 想 要 讨论 的 事情 


e 8.1 路 由 
o 8.1.1 路 由 表 产 生 的 类 型 
o 8.1.2 一 个 网 卡 绑 多 个 IP : IP Alias 的 测试 功能 
o 8.1.3 重复 路 由 的 问题 
e 8.2 路 由 器 架设 
o 8.2.1 什么 是 路 由 器 与 IP 分 享 器 ; sysctl.conf 
o 8.2.2 何 时 需要 路 由 器 
o 8.2.3 静态 路 由 之 路 由 器 
e 8.3 动态 路 由 器 架设 : quagga (zebra + ripd) 
e 8.4 特殊 状况 : 路 由 器 两 边界 面 是 同一 个 IP 网 段 : ARP Proxy 
。 8.5 重点 回顾 
。 8.6 本 章 习题 
。 8.7 参考 数据 与 延伸 阅读 
e 8.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=26428 


8.1 路 由 


我 们 在 第 二 章 网 络 基 础 里 面谈 到 过 路 由 的 相关 概念 ， 他 最 大 的 功能 就 是 在 帮 我 们 规划 网 络 封 
包 的 传递 方式 与 方向 。 至 于 路 由 的 观察 则 可 以 使 用 route 这 个 指令 来 查阅 与 设 定 。 好 了 ， 那 
么 路 由 的 形式 有 哪些 ? 你 又 该 如 何 确认 路 由 是 否 正 确 呢 ? 


8.1.1 路 由 表 产 生 的 类 型 


如 同 第 二 章 网 络 基 础 里 面谈 到 的 ， 每 一 部 主机 都 有 自己 的 路 由 表 ， 也 就 是 说 ， 你 必须 要 透 过 
你 自己 的 路 由 表 来 传递 你 主机 的 封包 到 下 一 个 路 由 器 上 头 。 若 传送 出 去 后 ， 该 封包 就 得 要 透 
过 下 一 个 路 由 器 的 路 由 表 来 传送 了 ， 此 时 与 你 自己 主机 的 路 由 表 就 没有 关系 啦 ! I ， 如 
果 网 络 上 面 的 某 一 部 路 由 器 设 定 错误 ， 那 ... 封 包 的 流向 就 会 发 生 很 大 的 问题 。 我 们 就 得 

过 traceroute 来 尝试 了 解 一 下 每 个 router 的 封包 流向 哩 。 


OK ! 那 你 自己 主机 的 路 由 表 到 底 有 哪些 部 分 呢 ? 我 们 以 底下 这 个 路 由 表 来 说 明 : 


[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 

192.168.1.0 0.0.0.0 255%255725580 U 0 0 © etho &lt;== 1 
169.254.0.0 0.0.0.0 2552550000 U 1002 0 © etho &lt;== 2 
0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 © etho &lt;== 3 


首先 ， 我 们 得 知道 在 Linux 系统 下 的 路 由 表 是 由 小 网 域 排列 到 大 网 域 ， 例 如 上 面 的 路 由 表 当 
中 ， 路 由 是 由 『 192.168.1.0/24 --> 169.254.0.0/16 --> 0.0.0.0/0 ( 预 设 路 由 ) 4 来 排列 的 。 而 
当主 机 的 网 络 封包 需要 传送 时 ， 就 会 查阅 上 述 的 三 个 路 由 规则 来 了 解 如 何 将 该 封包 传送 出 
去 。 那 你 会 不 会 觉得 奇怪 ， 为 什么 会 有 这 几 个 路 由 呢 ? 其 实 路 由 表 主 要 有 这 几 种 情况 来 设计 
的 : 


e@ 依据 网 络 接口 产生 的 IP 而 存在 的 路 由 : 


例如 192.168.1.0/24 这 个 路 由 的 存在 是 由 于 鸟 哥 的 这 部 主机 上 面 拥有 192.168.1.100 这 
个 IP 的 关系 ! 也 就 是 说 ， 你 主机 上 面 有 几 个 网 络 接口 的 存在 时 ， 该 网 络 接口 就 会 存在 一 
个 路 由 才 对 。 所 以 说 ， 万 一 你 的 主机 有 两 个 网 络 接口 时 ， 例 如 192.168.1.100， 
192.168.2.100 时 ， 那 路 由 至 少 就 会 有 : 


[root@www ~]# ifconfig eth1 192.168.2.100 
[root@www ~]# route -n 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.2.0 0.0.0.0 255"255.255.:0 U 0 0 9 eth1 
192.168.1.0 OO00R0 2558255525520 U 0 0 9 etho 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 UG 0 0 9 etho 


e 手动 或 预 设 路 由 (default route) : 


你 可 以 使 用 route 这 个 指令 手动 的 给 予 额外 的 路 由 设 定 ， 例 如 那个 预 设 路 由 (0.0.0.0/0) 
就 是 额外 的 路 由 。 使 用 route 这 个 指令 时 ， 最 重要 的 一 个 概念 是 : 『 你 所 规划 的 路 由 必 
须要 是 你 的 装置 (如 eth0) 或 IP 可 以 直接 沟通 (broadcast) 的 情况 」 才 行 。 举 例 来 说 ， 以 
上 述 的 环境 来 看 ， 我 的 环境 里 面 仅 有 192.168.1.100 及 192.168.2.100 ， 那 我 如 果 想 要 
连接 到 192.168.5.254 这 个 路 由 器 时 ， 下 达 : 


[root@www ~]# route add -net 192.168.5.0 \ 
&gt; netmask 255.255.255.0 gw 192.168.5.254 
SIOCADDRT: No such process 


看 吧 ! 系统 就 会 响应 没有 办 法 连接 到 该 网 域 ， 因 为 我 们 的 网 络 接口 与 192.168.5.0/24 根 
本 就 没有 关系 嘛 | 那 如 果 192.168.5.254 提 的 是 在 我 们 的 实体 网 络 连接 上 ， 并 且 与 我 们 
的 eth0 连接 在 一 起 ， 那 其 实 你 应 该 是 这 样 做 : 


[root@www ~]# route add -net 192.168.5.0 \ 
&gt; netmask 255.255.255.0 dev etho 
[root@www ~]# route -n 

Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.5.0 0.0.0.0 25525525580 U 0 0 9 etho 
192.168.2.0 0.0.0.0 25582558259580 U 0 0 9 eth1 
192.168.1.0 0.0.0.0 259525525580 U 0 0 9 etho 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 UG 0 0 9 etho 


这 样 你 的 主机 就 会 直接 用 eth0 这 个 装置 去 尝试 连接 192.168.5.254 了 ! 另外 ， 上 面 路 由 
输出 的 重点 其 实 是 那个 『Flags 的 GJ 了 1 因为 那个 G 代表 使 用 外 部 的 装置 作为 
Gateway 的 意思 ! 而 那个 Gateway (192.168.1.254) 必须 要 在 我 们 的 已 存在 的 路 由 环境 
中 。 这 可 是 很 重要 的 概念 喔 1 ^ 人 和 


e 动态 路 由 的 学 习 : 


除了 上 面 这 两 种 可 以 直接 使 用 指令 的 方法 来 增加 路 由 规则 之 外 ， 还 有 一 种 透 过 路 由 器 与 
路 由 器 之 问 的 协商 以 达成 动态 路 由 的 环境 ， 不 过 ， 那 就 需要 额外 的 软件 支持 了 ， 例 如 : 
zebra (http://www.zebra.org/) 或 CentOS 上 面 的 Quagga (http:/www.quagga.net/) 这 几 
个 软件 了 |! 


事实 上 ， 在 Linux 的 路 由 规则 都 是 透 过 核心 来 达成 的 ， 所 以 这 些 路 由 表 的 规则 都 是 在 核心 功 
能 内 啊 ! 也 就 是 在 内 存 当 中 喔 1 ^ ^ 


8.1.2 一 个 网 卡 绑 多 个 IP: IPAlias 的 测试 用 途 


我 们 在 第 五 章 的 ifconfig 指令 里 面谈 过 eth0:0 这 个 装置 吧 ? 这 个 装置 可 以 在 原本 的 eth0 上 面 
ww Ai A sa 
a IP Alias 了 。 而 这 个 eth0:0 的 装置 可 以 透 过 ifconfig 或 ip 这 两 个 指令 来 达成 ， 关于 这 

令 的 用 途 请 翻 回去 之 前 的 章节 阅读 ， 这 里 不 再 浪费 篇 幅 啊 ! 


IP Alias 有 啥 用 途 啊 ? 4 好 问题 ! 这 个 IPAlias 最 大 的 用 途 就 是 可 以 


那 你 或 许 会 问 啊 : 『 这 个 
怎么 说 呢 ? 我 们 就 来 聊 一 聊 他 的 几 个 常见 的 用 途 好 了 : 


让 你 用 来 『 应 急 〗 |! 
e 测试 用 : 


怎么 人 
通常 是 使 用 WWW 接口 来 提供 的 。 这 个 IP 分 享 器 通常 会 ee 
192.168.0.1 来 让 用 户 开 启 WWW 接口 的 浏览 。 问 题 来 了 ， 那 你 要 如 何 连接 上 这 部 IP 分 
享 器 呢 ? 嘿嘿 ! 在 不 更 动 既 有 的 网 络 环境 下 ， 你 可 以 直接 利用 : 


[root@www ~]# ifconfig [device] [ IP ] netmask [netmask ip] [up&#124;down] 
[root@www ~]# ifconfig eth0:0 192.168.0.100 netmask 255.255.255.0 up 


来 建立 一 个 虚拟 的 网 络 接口 ， 这 样 就 可 以 立 刘 连接 上 IP 分 享 器 了 ， 也 不 会 更 动 到 你 原本 
的 网 络 参数 设 定 值 哩 ! 


。 在 一 个 实体 网 域 中 含有 多 个 IP 网 域 : 


另外 ， 如 果 像 是 在 补习 班 或 者 是 学 校 单 位 的 话 ， 由 于 原本 的 主机 网 络 设 定 最 好 不 要 随便 

修改 ， 那 如 果 要 让 同学 们 大 家 互通 所 有 的 计算 机 信息 时 ， 就 可 以 让 每 个 同学 都 透 过 |P 

Alias 来 设 定 同一 网 域 的 IP ， 如 此 大 家 就 可 以 在 同一 个 网 段 内 进行 各 项 网 络 服务 的 测试 
， 很 不 错 吧 ! 


e。 既 有 设备 无 法 提供 更 多 实体 网 卡 时 : 


如 果 你 的 这 部 主机 需要 连接 多 个 网 域 ， 但 该 设备 却 无 法 提供 安装 更 多 的 网 卡 时 ， 你 只 去 
勉 为 其 难 的 使 用 IP Alias 来 提供 不 同 网 段 的 联机 服务 了 |! 


不 过 ， 你 需要 知道 的 是 : 所 有 的 IP Alias 都 是 由 实体 网 卡 仿 丨 来 的 ， 所 以 当 要 启动 eth0:0 
ego MO 所 以 eth0:n 的 模拟 网 卡 将 同时 也 被 关 
闭 。 这 得 先 要 了 解 才 行 ， 否则 常常 会 摘 错 启动 的 装置 啊 ! 在 路 由 规则 的 设 定 当 中 ， 常 常 需要 
进行 De ， 那 这 个 IPAlias 就 派 的 上 用 场 了 。 尤其 是 学 校 单位 的 练习 环境 当中 |! 


基本 上 ， 除 非 有 特殊 需求 ， 否 则 建议 你 要 有 多 个 IP 时 ， 最 好 在 不 同 的 网 卡 上 面 达 成 ， 如 果 你 
览 的 要 使 用 IP Alias 时 ， 那 么 如 何在 开机 的 时 候 就 启动 IP alias 呢 ? 方法 有 很 多 啦 ! 包括 将 上 
面 用 ifconfig 启动 的 指令 写 入 /etc/rc.d/rc.local 档案 中 (但 使 用 /etc/init.d/network restart 时 ， 
该 IP alias 无 法 被 重新 启动 )， 但 鸟 哥 个 人 比较 建议 使 用 如 下 的 方式 来 处 理 : 


。 透 过 建立 /etc/sysconfig/network-scripts/ifcfg-eth0:0 配置 文件 


举例 来 说 ， 你 可 以 透 过 底下 这 个 方法 来 建立 一 个 虚拟 设备 的 配置 文件 案 : 


[root@www ~]# cd /etc/sysconfig/network-scripts 

[root@www network-scripts]# vim ifcfg-eth0:0 

DEVICE=eth0O:0 &1t ;== 相 当 重 要 |! 一 定 要 与 文件 名 相同 的 装置 代号 ! 
ONBOOT=yes 

BOOTPROTO=static 

IPADDR=192 .168.0.100 

NETMASK=255.255.255.0 


[root@www network-scripts]# ifup eth0:0 
[root@www network-scripts]# ifdown etho0:0 
[root@www network-scripts]# /etc/init.d/network restart 


关于 装置 的 配置 文件 案 内 的 更 多 参数 说 明 ， 请 参考 第 四 章 4.2.1 手动 设 定 IP 参数 的 相关 
说 明 ， 在 此 不 再 叙述 ! 使 用 这 个 方法 有 个 好 处 ， 就 是 当 你 使 用 『 /etc/init.d/network 
restart 」 时 ， 系 统 依旧 会 使 用 你 的 ifcfg-eth0:0 档案 内 的 设 定 值 来 启动 你 的 虚拟 网 卡 喔 ! 
另外 ， 不 论 ifcfg-eth0:0 内 的 ONBOOT 设 定 值 为 何 ， 只 要 ifcfg-eth0 这 个 实体 网 卡 的 配 
置 文件 中 ，ONBOOT 为 yes 时 ， 开 机 就 会 将 全 部 的 eth0:n 都 启动 。 


透 过 这 个 简单 的 方法 ， 你 就 可 以 在 开机 的 时 候 局 动 你 的 庶 拟 接口 而 取得 多 个 IP 在 同一 张 网 卡 

上 了 。 不 过 需要 注意 的 是 ， 如 果 你 的 这 张 网 卡 分 别 透 过 DHCP 以 及 手动 的 方式 来 设 定 你 的 IP 

参数 ， 那 么 dhcp 的 取得 务必 使 用 实体 网 卡 ， 亦 即 是 eth0 之 类 的 网 卡 代 号 ， 而 手动 的 就 以 

eth0:0 之 类 的 代号 来 设 定 较 佳 。 

Tips: 在 日 版 的 CentOS 4.x 中 ， 如 果 你 的 eth0 是 使 用 DHCP 来 取得 IP 参数 的 话 ， 那 么 由 于 
个 


ifup 及 /etc/init.d/network 这 两 个 Script 内 程序 代码 撰写 的 方式 ， 将 会 导致 fcfg-eth0:0 这 个 配 
置 文件 不 会 被 使 用 到 喔 ! 不 过 这 个 问题 在 CentOS 5.x 以 后 的 版 本 中 已 经 被 克服 鹃 ! 


8.1.3 重复 路 由 的 问题 


很 多 朋友 可 能 都 有 一 个 可 爱 的 想法 ， 那 就 是 : 『 我 可 不 可 以 利用 两 张 网 卡 ， 利 用 两 个 相同 网 
域 的 IP 来 增加 我 这 部 主机 的 网 络 流量 ] ? 事实 上 这 是 一 个 可 行 的 方案 ， 不 过 必须 要 透 过 许多 
的 设 定 来 达成 ， 若 你 有 需求 的 话 ， 可 以 参考 网 中 人 大 哥 写 的 这 一 篇 ( 注 1) : 


。 带宽 负载 平衡 (http://www.study-area.org/tips/multipath.htm) 


如 果 只 是 单纯 的 以 为 设 定好 两 张 网 卡 的 IP 在 同一 个 网 域 就 能 够 增加 你 主机 的 两 倍 流量 ， 那 可 
就 大 错 特 错 了 ~ 为 什么 呢 ? 还 记得 我 们 在 路 由 表 规则 里 面 提 过 网 络 封包 的 传递 主要 是 依据 主 
机 内 的 路 由 表 规则 吧 ! 那 如 果 你 有 两 张 网 络 卡 时 ， 假 设 : (底下 信息 请 思考 ， 不 用 实 作 ! ) 


。 eth0 : 192.168.0.100 
。 eth1 : 192.168.0.200 


那 你 的 路 由 规则 会 是 如 何 呢 ? 理论 上 会 变 成 这 样 : 


[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.0.0 0.0.0.0 255°255525530 U 0 0 9 ethi 
192.168.0.0 0.0.0.0 2553255525550 U 0 0 9 etho 


也 就 是 说 ，(1) 当 要 主动 发 送 封包 到 192.168.0.0/24 的 网 域 时 ， 都 只 会 透 过 第 一 条 规则 ， 也 就 
是 透 过 eth1 来 传 出 去 ! (2) 在 响应 封包 方面 ， 不 管 是 由 eth0 还 是 由 eth1 进来 的 网 络 封 包 ， 
都 会 透 过 eth1 来 回 传 ! 这 可 能 会 造成 一 些 问 题 ， 尤 其 是 一 些 防火 墙 的 规则 方面 ， 很 可 能 会 发 
生 一 些 严 重 的 错误 ， 如 此 一 来 ， 根 本 没有 办 法 达成 负载 平衡 ， 也 不 会 有 增加 网 络 流量 的 效 
果 ! 更 惨 的 是 ， 还 可 能 发 生 封包 传递 错误 的 情况 呐 ! 所 以 说 ， 同 一 部 主机 上 面 设 定 相 同 网 域 
的 IP 时 ， 得 要 特别 留意 你 的 路 由 规则 ， 一 般 来 说 ， 不 应 该 设 定 同一 的 网 段 的 不 同 IP 在 同一 
部 主机 上 面 。 例 如 上 面 的 案例 就 是 一 个 不 好 的 示范 啊 ! 


Tips: 为 什么 会 特别 强调 这 个 观念 呢 ? 大 约 2000 年 前 后 ， 鸟 哥 刚 接触 Linux 时 ， 由 于 当时 的 
网 络 速度 相当 缓慢 ， 为 了 提升 网 络 流量 乌 可 费 尽 心思 啊 ~ 后 来 想到 说 ， 如 果 有 两 片 网 卡 ， 不 
就 可 以 增加 流量 了 吗 ? 于 是 就 设 定 了 两 个 同 网 域 的 IP 在 一 部 主机 的 两 张 网 卡 上 上， 结果 呢 ?很 
多 服务 都 无 法 连通 了 ! 就 是 因为 痛 过 ， 所 以 才 有 更 强烈 的 印象 啊 ! 错误 经 验 学 习 法 则 ^^! 





8.2 路 由 器 架设 


我 们 知道 在 局 域 网 络 里 面 的 主机 可 以 透 过 te en ee 的 传送 ， 但 在 不 同 网 段 
内 的 主机 想 要 互相 联机 时 ， 就 得 要 透 过 路 由 器 了 。 那么 什么 由 器 ? 他 的 主要 功能 是 什 
么 ?底下 我 们 就 来 聊 一 聊 ! 


8.2.1 什么 是 路 由 器 与 IP 分 享 器 


既然 主机 想 要 将 数据 传送 到 不 同 的 网 域 时 得 透 过 路 由 器 的 帮忙 ， 所 以 啦 ， 路 由 器 的 主要 功能 
就 是 : 『 转 递 网 络 封包 J 史 ! 也 就 是 说 ， 路 由 器 会 分 析 来 源 端 封包 的 IP 表 头 ， 在 表 头 内 找 出 
要 送 达 的 目标 IP 后 ， 透 过 路 由 器 本 身 的 路 由 表 (routing table) 来 将 这 个 封包 向 下 一 个 目标 
(next hop) 传送 。 这 就 是 路 由 器 的 功能 。 那 么 路 由 器 的 功能 可 以 如 何 达 成 呢 ? 目前 有 两 种 方 
法 可 以 达成 : 


器 


。 硬件 功能 : 例如 Cisco, TP-Link, D-Link ( 注 2) 等 公司 都 有 生产 硬件 路 由 器 ， 这 些 路 由 
内 有 衣 入 式 的 操作 系统 ， 可 以 负责 不 同 网 域 间 的 封包 转译 与 转 递 等 功能 ; 


。 软件 功能 : 例如 Linux 这 个 操作 系统 的 核心 就 有 提供 封包 转 递 的 能 力 。 


高 阶 的 路 由 器 可 以 连结 不 同 的 硬 设备 ， 并 且 可 以 转译 很 多 不 同 的 封包 格式 ， 通 常 ... 价 格 也 不 便 
宜 啊 ! 在 这 个 章节 里 面 ， 我 们 并 没有 要 探讨 这 么 高 阶 的 吹 吹 ， 仅 讨论 在 以 太 网 络 里 头 最 简单 
的 路 由 器 功能 : 连接 两 个 不 同 的 网 域 。 嘿 嘿 1 这 个 功能 Linux 个 人 计算 机 就 可 以 达成 了 ! 那 
怎么 达成 呢 ? 


e 打开 核心 的 封包 转 递 (IP forward) 功能 


就 如 同 路 由 表 是 由 Linux 的 核心 功能 所 提供 的 ， 这 个 转 递 封包 的 能 力也 是 Linux 核心 所 提供 ， 
那 如 何 观 察 核心 是 否 已 经 有 局 动 封包 转 递 呢 ? 很 简单 啊 ， 观 察 核心 功能 的 显示 档案 即 可 ， 如 
下 所 示 : 


[root@www ~]# cat /proc/sys/net/ipv4/ip_forward 
9 &lt;== 0 代表 没有 启动 ， 1 代表 启动 了 


要 让 该 档案 的 内 容 变 成 启动 值 1 | : Techo 1> 
/proc/sys/netipv4/ip_forwardJ 即 可 。 不过， 这 个 设 定 结果 在 下 次 重新 启动 后 就 会 失效 。 因 
此 ， 乌 可 建议 您 直接 修改 系统 配置 文件 的 内 容 ， 那 就 是 /etc/sysctl.conf 来 达成 开机 启动 封包 
转 递 的 功能 喔 。 


[root@www ~]# vim /etc/sysctl.conf 
# 将 底下 这 个 设 定 值 修改 正确 即 可 ! (本 来 值 为 0 ， 将 它 改 为 1 即 可 ) 
net.ipv4.ip_forward = 1 


[root@www ~]# sysctl -p &1lt;== 立 刻 让 该 设 定 生效 


sysctl 这 个 指令 是 在 核心 工作 时 用 来 直接 修改 核心 参数 的 一 个 指令 ， 更 多 的 功能 可 以 参考 
man sysctl 查询 。 不 要 怀疑 ! 只 要 这 个 动作 ， 你 的 Linux 就 具有 最 简单 的 路 由 器 功能 了 。 而 
由 于 Linux 路 由 器 的 路 由 表 设 定 方法 的 不 同 ， 通 常 路 由 器 规划 其 路 由 的 方式 就 有 两 种 : 


。 静态 路 由 : 直接 以 类 似 route 这 个 指令 来 直接 设 定 路 由 表 到 核心 功能 当中 ， 设 定 值 只 要 与 
网 域 环境 相符 即 可 。 不过， 当 你 的 网 域 有 变化 时 ， 路 由 器 就 得 要 重新 设 定 ; 


e 动态 路 由 : 透 过 类 似 Quagga 或 zebra 软件 的 功能 ， 这 些 软件 可 以 安装 在 Linux 路 由 器 
上 ， 而 这 些 软件 可 以 动态 的 侦 测 网 域 的 变化 ， 并 直接 修改 Linux 核心 的 路 由 表 人 信息， 你 
无 须 手 动 以 route 来 修改 你 的 路 由 表 信 息 喔 ! 


了 解 了 路 由 器 之 后 ， 接 下 来 你 可 能 需要 了 解 到 什么 是 NAT (Network Address Translation, 网 
络 地 址 转换 ) 服务 器 ，NAT 是 哈 ? 其实 IP 分 享 器 就 是 最 简单 的 NAT 服务 器 啦 ! 嘿嘿 ， 了 解 
了 吗 ? 没 错 ，NAT 可 以 达成 IP 分 享 的 功能 ， 而 NAT 本 身 就 是 一 个 路 由 器 ， 只 是 NAT 比 路 
由 器 多 了 一 个 『IP 转换 」 的 功能 。 怎 么 说 呢 ? 

。 一 般 来 说 ， 路 由 器 会 有 两 个 网 络 接口 ， 透 过 路 由 器 本 身 的 1IP 转 递 功能 让 两 个 网 域 可 以 互 
相 沟通 网 络 封包 。 那 如 果 两 个 接口 一 边 是 公共 IP (public IP) 但 一 边 是 私有 IP (private IP) 
呢 ? 由 于 私有 IP 不 能 直接 与 公共 IP 沟通 其 路 由 信息 ， 此 时 就 得 要 额外 的 『 1|P 转译 」 功 
能 了 ; 

e。 Linux 的 NAT 服务 器 可 以 透 过 修改 封包 的 IP 表 头 数据 之 来 源 或 目标 IP ， 让 来 自私 有 |P 
的 封包 可 以 转 成 NAT 服务 器 的 公共 IP ， 就 可 以 连 上 Internet ! 


所 以 说 ， 当 路 由 器 两 端的 网 域 分 别 是 Public 与 Private IP 时 ， 才 需要 NAT 的 功能 ! NAT 功 
能 我 们 会 在 下 一 章 防 火 墙 时 谈 及 ， 这 个 章节 仅 谈论 一 下 路 由 器 而 已 啊 1 ^ 人 ^ 


8.2.2 何 时 需要 路 由 对 


一 般 来 说 ， 计 算 机 数量 小 于 数 十 部 的 小 型 企业 是 无 须 路 由 器 的 ， 只 需要 利用 hub/switch 串 接 
各 部 计算 机 ， 然 后 透 过 单一 线路 连接 到 Internet 上 即 可 。 不 过 ， 如 果 是 超过 数 百 部 计算 机 的 
大 型 企业 环境 ， 由 于 他 们 的 环境 通常 需要 考虑 如 下 的 状况 ， 因 此 才 需 要 路 由 器 的 架设 : 


。 实体 线路 之 布线 及 效能 的 考虑 : 


在 一 栋 大 楼 的 不 同 楼 层 要 囊 接 所 有 的 计算 机 可 能 有 点 难度 ， 那 可 以 透 过 每 个 楼 层 架 设 一 
部 路 由 器 ， 并 将 每 个 楼 层 路 由 器 相连 接 ， 就 能 够 简单 的 管理 各 楼 层 的 网 络 ; 此 外 ， 如 果 
各 楼 层 不 想 架 设 路 由 器 ， 而 是 直接 以 网 络 线 串 接 各 楼 层 的 hub/switch 时 ， 那 由 于 同一 网 


域 的 数据 是 透 过 广播 来 传递 的 ， 那 当 整个 大 楼 的 某 一 部 计算 机 在 广播 时 ， 所 有 的 计算 机 
将 会 予以 回应 ， 哇 |! 会 造成 大 楼 内 网 络 效能 的 问题 ; 所 以 架设 路 由 器 将 实体 线路 分 隔 ， 
就 有 助 于 这 方面 的 网 络 效能 ; 


。 部 门 独立 与 保护 数据 的 考虑 : 


在 阅读 过 第 二 章 网 络 基础 后 ， 你 就 会 晓得 ， 只 要 实体 线路 是 连接 在 一 起 的 ， 那 么 当 数 据 
透 过 广播 时 ， 你 就 可 以 透 过 类 似 tcpdump 的 指令 来 监听 封包 数据 ， 并且 子 以 窃取 一 所 
以 ， 如 果 你 的 部 门 之 间 的 数据 可 能 需要 独立 ， 或 者 是 某 些 重要 的 资料 必须 要 在 公司 内 部 
也 予以 保护 时 ， 可 以 将 那些 重要 的 计算 机 放 到 一 个 独立 的 实体 网 域 ， 并 额外 加 设防 火 
墙 、 路 由 器 等 连接 上 公司 内 部 的 网 域 。 


路 由 器 就 只 是 一 个 设备 ， 要 如 何 使 用 端 看 你 的 网 络 环境 的 规划 ! 上 面 仅 是 举 出 一 些 应 用 案 
例 。 底下 我 们 先 就 架设 一 个 静态 路 由 的 路 由 器 来 玩 一 玩 吧 | 


8.2.3 静态 路 由 之 路 由 如 


假设 在 贵 公司 的 网 络 环境 当中 ， 除 了 一 般 职 员 的 工作 用 计算 机 是 直接 连接 到 对 外 的 路 由 器 来 
连结 因特网 ， 在 内 部 其 实 还 有 一 个 部 门 需要 较 安 全 的 独立 环境 ， 因 此 这 部 份 的 网 络 规划 可 能 
是 这 样 的 情况 (参考 图 3.2-1 内 容 延 伸 而 来 ) : 


Router A [P 外 ; public 1P 
IP 内 : 192.168.1.254/24 


Routing: 192.168.100.024 -> Linux router 
Default gateway: 外 部 (ITSP 担 供 ) 













Linux Router 


IP 外 : 192.168.1.100/24 
IP 内 : 192.168.100.254/24 
Default gateway: 192.168,1.254 


wewwwwoooewovooooowwooowowwvooowowoooowoooooooovo 生 -vv 


独立 区 网 | 


workstation 
IP: 192.168.1.101 

Default gateway: 192.1068.1.254 
Option (HA Linux router) 


clientlinux winxp Win7 
192.168.100.10 ”192.168.100.20 192.168.100.30 | 
192.168.100.254 : 图 8.2-1、 


静态 路 由 之 路 由 器 架构 示意 图 
以 上 图 的 架构 来 说 ， 这 家 公司 主要 有 两 个 class C 的 网 段 ， 分 别 是 : 


。 一 般 区 网 (192.168.1.0/24) : 包括 Router A, workstation 以 及 Linux Router 三 部 主机 所 构 


成 ; 
。 保护 内 网 (192.168.100.0/24) : 包括 Linux Router, clientlinux, winxp, win7 等 主机 所 构 
成 。 


其 中 192.168.1.0/24 是 用 来 做 为 一 般 员 工 连接 因特网 用 的 ， 至 于 192.168.100.0/24 则 是 给 特 
殊 的 部 门 用 的 。workstation 代表 的 是 一 般 员 工 的 计算 机 ，clientlinux 及 winxp, win7 则 是 特殊 
部 门 的 工作 用 计算 机 ，Linux Router 则 是 这 个 特殊 部 门 用 来 连接 到 公司 内 部 网 域 的 路 由 器 。 
在 这 样 的 架构 下 ， 该 特殊 部 门 的 封包 就 能 够 与 公司 其 他 部 门 作 实体 的 分 隔 了 。 


由 上 图 你 也 不 难 发 现 ， 只 要 是 具有 路 由 器 功能 的 设备 (Router A, Linux Router) 都 会 具有 两 个 
以 上 的 接口 ， 分 别 用 来 沟通 不 同 的 网 域 ， 同 时 该 路 由 器 也 都 会 具有 一 个 预 设 路 由 啊 1 人 人 ^| 
另外 ， 你 还 可 以 加 上 一 些 防火 墙 的 软件 在 Linux Router 上 ， 以 保护 clientlinux, winxp, win7 
呢 | 


那 我 们 先 来 探讨 一 下 联机 的 机 制 好 了 ， 先 从 clientlinux 这 部 计算 机 谈 起 。 如 果 clientlinux 想 要 
连 上 Internet， 那 么 他 的 联机 情况 会 是 如 何 ? 


e@ 发 起 联机 需求 : clientlinux --> Linux Router --> Router A --> Internet 
e@ 响应 联机 需求 : Internet --> Router A --> Linux Router --> clientlinux 


观察 一 下 两 部 Router 的 设 定 ， 要 达到 上 述 功能 ， 则 Router A 必须 要 有 两 个 接口 ， 一 个 是 对 
外 的 Public IP 一 个 则 是 对 内 的 Private IP ， 因 为 IP 的 类 别 不 同 ， 因 此 RouterA 还 需要 额外 
增加 NAT 这 个 机 制 才 行 ， 这 个 机 制 我 们 在 后 续 章 节 会 继续 谈 到 。 除 此 之 外 ，Router 人 A 并 不 需 
要 什么 额外 的 设 定 。 至 于 Linux Router 就 更 简单 了 ! 什么 事 都 不 用 作 ， 将 两 个 网 络 适 配器 设 
定 两 个 IP ， 并 且 启 动 核心 的 封包 转 弟 功能， 立刻 就 架设 完毕 了 | 非常 简单 ! 我 们 就 来 谈 一 谈 
这 几 个 机 器 的 设 定 吧 ! 


e Linux Router 


在 这 部 主机 内 需要 有 两 张 网 卡 ， 鸟 哥 在 这 里 将 他 定义 为 (假设 你 已 经 将 刚刚 实 作 的 eth0:0 取 
消 掉 了 ) : 


。 eth0: 192.168.1.100/24 
。 eth1: 192.168.100.254/24 


# 1\， 再 看 看 ethQ 的 设 定 吧 ! 虽然 我 们 已 经 在 第 四 章 就 搞定 了 : 

[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE="ethO" 

HWADDR="08:00:27:71:85:BD" 

NM_CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO=none 

IPADDR=192 .168.1.100 

NETMASK=255 ,255.255.0 

GATEWAY=192.168.1.254 ”&1t;== 最 重要 的 设 定 啊 | 透 过 这 部 主机 连 出 去 的 | 





# 2\， 再 处 理 eth1 这 张 之 前 一 直 都 没有 驱动 的 网 络 卡 吧 ! 

[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1 
DEVICE="eth1" 

HWADDR="08:00:;27:2A:30:14" 

NM_CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO="Nnone" 

IPADDR=192.168.100.254 

NETMASK=255.255.255.0 


# 3\， 启动 IP 转 递 ， 上 趴 的 来 实 作成 功 才 行 ! 

[root@www ~]# vim /etc/sysct1,conf 

net.ipv4.ip_forward = 1 

# 找到 上 述 的 设 定 值 ， 将 默认 值 9 改 为 上 述 的 1 即 可 1 储存 后 离开 去 ! 
[root@www ~]# Sysct] -p 

[root@www ~]# cat /proc/sys/net/ipv4/ip_forward 

1 &lLt;== 这 就 是 重点 ! 要 是 1 才 可 以 哆 ! 





# 4\， 重 新 启动 网 络 ， 并 且 观 察 路 由 与 ping Router A 
[root@www ~]# /etc/init.d/network restart 
[root@www ~]# route -n 

Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.100.0 0.0.0.0 255955255525550 U 0 0 9 eth1 
192.168.1.0 0.0.0.0 22259255525580 U 0 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 UG 0 0 9 etho 


# 上 面 的 重点 在 于 最 后 面 那个 路 由 器 的 设 定 是 否 正确 哟 ! 


[root@www ~]# ping -c 2 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=1 tt1=64 time=0.294 ms 

64 bytes from 192.168.1.254: icmp_seq=2 tt1=64 time=0.119 ms &1Lt;== 有 回应 即 可 


# 5\， 暂时 关闭 防火 墙 ! 这 一 步 也 很 重要 喔 ! 
[root@www ~]# /etc/init.d/iptables stop 


有 够 简单 吧 ! 而 且 透 过 最 后 的 ping 我 们 也 知道 Linux Router 可 以 连 上 RouterA 嘿 1! 这样 你 
的 Linux Router 就 OK 了 呐 ! 此 外 ，CentOS 6.x 默认 的 防火 墙 规 则 会 将 来 自 不 同 网 卡 的 沟通 
封包 别 除 ， 所 以 还 得 要 暂时 关闭 防火 墙 才 行 。 接 下 来 则 是 要 设 定 clientlinux 这 个 被 保护 的 内 
部 主机 网 络 史 。 


e。 受 保护 的 网 域 ， 以 clientlinux 为 例 
不 论 你 的 clientlinux 是 哪 一 种 操作 系统 ， 你 的 环境 都 应 该 是 这 样 的 (图 8.2-1) : 


。 IP: 192.168.100.10 
。 Netmask: 255.255.255.0 
。 gateway: 192.168.100.254 


e hostname: clientlinux.centos.vbird 
e DNS: 168.95.1.1 


以 Linux 操作 系统 为 例 ， 并 且 clientlinux 仅 有 eth0 一 张 网 卡 时 ， 他 的 设 定 是 这 样 的 : 


[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-etho 
DEVICE="ethO" 

NM_CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO=none 

IPADDR=192 .168.100.10 

NETMASK=255.255.255.0 

GATEWAY=192 ,168.100.254 &1lt;== 这 个 设 定 最 重要 啦 ! 

DNS1=168.95.1.1 &1t;== 有 这 个 就 不 用 自己 改 /etc/resolv.conf 


[root@clientlinux ~]# /etc/init.d/network restart 
[root@clientlinux ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.100.0 0.0.0.0 255.255.255.0 U a 0 9 etho 
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 etho 
0.0.0.0 192.168.100.254 0.0.0.0 UG 0 0 9 etho 


[root@clientlinux ~]# ping -c 2 192.168.100.254 &lt;==ping 自 己 的 gateway( 会 成 功 ) 
[root@clientlinux ~]# ping -c 2 192.168.1.254  &lt;==ping 外 部 的 gateway (会 失败 ) 


最 后 一 个 动作 有 问题 吻 ! 怎么 会 连 ping 都 没有 办 法 ping 到 RouterA 的 IP 呢 ? 如 果 连 ping 
都 没有 办 法 给予 回应 的 话 ， : 闭 友 主 示 入 而 的 了 机 天 看 局 拓 动 让 汰 从 前 击 站 哨 记 联 估 次 示 沱 和 
来 看 一 下 吧 | 


。 发 起 联机 : clientlinux --> Linux Router (OK) --> Router A (OK) 

e 回应 联机 : Router A (此 时 routerA 要 响应 的 目标 是 192.168.100.10)，Router A 仅 有 
public 与 192.168.1.0/24 的 路 由 ， 所 以 该 封包 会 由 public 界面 再 传 出 去 ， 因 此 封包 就 回 
不 来 了 ... 


发 现 了 吗 ? 网 络 是 双向 的 ， 此 时 封包 出 的 去 ， 但 是 非常 可 怜 的 ， 封 包 回 不 来 一 那 怎 办 呢 ? 
好 告知 Router A 当 路 由 规则 碰 到 192.168.100.0/24 时 ， 要 将 该 封包 传 192.168.1.100 就 是 
了 ! 所 以 你 要 这 样 进行 。 


e 特别 的 路 由 规则 : Router A 所 需 路 由 


pn Router A 对 外 的 网 卡 为 eth1 ;而 内 部 的 192.168.1.254 则 是 设 定 在 eth0 上 头 。 那 
么 在 Router 人 增加 一 条 路 由 规则 呢 ? 了 很 简单 啊 1 直接 使 用 route add 去 增加 即 可 1 如 下 所 
示 的 情况 : 


[root@routera ~]# route add -net 192.168.100.0 netmask 255.255.255.0 \ 
&gt; gw 192.168.1.100 


不 过 这 个 规则 并 不 会 写 入 到 配置 文件 ， 因 此 下 次 重新 启动 这 个 规则 就 不 见 了 1 所 以 ， 你 应 该 
要 建立 一 个 路 由 配置 文件 。 由 于 这 个 路 由 是 依附 在 eth0 网 卡 上 的 ， 所 以 配置 文件 的 档 名 应 该 
要 是 route-eth0 喔 ! 这 个 配置 文件 的 内 容 当 中 ， 我 们 要 设 定 192.168.100.0/24 这 个 网 域 的 
gateway 是 192.168.1.100， 且 是 透 过 eth0 ， 那 么 写法 就 会 变 成 : 


[root@routera ~]# vim /etc/sysconfig/network-scripts/route-etho 
192.168.100.0/24 via 192.168.1.100 dev etho 


目标 网 域 透 过 的 gateway 装置 

[root@routera ~]# route -n 

Destination Gateway Genmask Flags Metric Ref Use Iface 
120.114.142.0 0.0.0.0 255"255%255%:0 U 0 0 © eth1 
192.168.100.0 192.168.1.100 255.,255.255.0 UG 0 0 9 etho 
192.168.1.0 0.0.0.0 255%255"255%0 U 0 0 9 etho 
169.254.0.0 0.0.0.0 255E255 0 0 U 0 0 © eth1 
0.0.0.0 120.114.142.254 0.0.0.0 UG 0 0 © eth1 


上 述 观 察 的 重点 在 于 有 没有 出 现 192.168.100.0 那 行路 由 ! 如 果 有 的 话 ， 请 ping 
192.168.100.10 看 看 能 不 能 有 回应 ? 然后 再 到 clientlinux 上 面 去 ping 192.168.1.254 看 看 有 
没有 响应 ， 你 就 知道 设 定 成 功 哩 ! 好 了 ， 既 然 内 部 保护 网 络 已 经 可 以 连 上 Internet 了 ， 和 那么 
是 否 代 表 clientlinux 可 以 直接 与 一 般 员工 的 网 域 ， 例 如 workstation 进行 联机 呢 ? 我 们 依 昌 透 

过 路 由 规则 来 探讨 一 下 ， 当 clientlinux 要 直接 联机 到 workstation 时 ， 他 的 联机 方向 是 这 样 的 
(参考 图 8.2-1) : 


e 联机 发 起 : clientlinux --> Linux Router (OK) --> workstation (OK) 

e 回应 联机 : workstation (联机 目标 为 192.168.100.10， 因 为 并 没有 该 路 由 规则 ， 因 此 联 
机 丢 给 default gateway， 亦 即 是 Router A) --> Router A (OK) --> Linux Router (OK) --> 
clientlinux 


有 没有 发 现 一 个 很 可 爱 的 传输 流程 ? 联机 发 起 是 没有 问题 啦 ， 不 过 呢 ， 响 应 联机 竟然 会 偷偷 
透 过 RouterA 来 帮忙 哆 ! 这 是 因为 workstation 与 当初 的 Router A 一 样 ， 并 不 知道 
192.168.100.0/24 在 192.168.1.100 里 面 啦 ! 不 过 ， 反 正 Router A 已 经 知道 了 该 网 域 在 
Linux Router 内 ， 所 以 ， 该 封包 还 是 可 以 顺利 的 回 到 clientlinux 就 是 了 。 


e 让 Workstation 与 clientlinux 不 透 过 Router A 的 沟通 方式 


如 果 你 不 想 要 让 workstation 得 要 透 过 RouterA 才能 够 联机 到 clientlinux 的 话 ， 那 么 就 得 要 
与 RouterA 相同 ， 增 加 那 一 条 路 由 规则 鹃 | 如果 是 Linux 的 系统 么 如 同 Router A 一 样 的 
设 定 如 下 : 


[root@workstation ~]# vim /etc/sysconfig/network-scripts/route-etho 
192.168.100.0/24 via 192.168.1.100 dev etho 


[root@workstation ~]# /etc/init.d/network restart 


[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask 
192.168.1.0 0.0.0.0 2555255: 
192.168.100.0 192.168.1.100 255.255. 
169.254.0.0 0.0.0.0 2595"255. 
0.0.0.0 192.168.1.254 0.0.0.0 


最 后 只 要 clientlinux 使 用 ping 可 以 连 到 workstation， 同 样 的 ，workstation 也 可 以 ping 到 
clientlinux 的 话 ， 就 表示 你 的 设 定 是 OK 的 啦 ! 搞定 ! 而 透 过 这 样 的 设 定 方式 ， 你 也 可 以 发 现 
到 一 件 事 ， 那 就 是 : 『 路 由 是 双向 的 ， 你 必须 要 了 解 出 去 的 路 由 与 回来 时 的 规则 4 。 举例 来 
说 ， 在 预 设 的 情况 下 (Router A 与 workstation 都 没有 额外 的 路 由 设 定时 )， 
clientlinux 联机 到 workstation 的 ， 但 是 workstation 却 没 有 相关 的 路 由 可 以 响应 到 clientlinux 
一 所 以 上 头 才 会 要 你 在 Router A 或 者 是 workstation 上 面 设 定额 外 的 路 由 规则 啊 ! 这 样 说 ， 


量 了 吧 ? 人 人 


用 Linux 作 一 个 静态 路 由 的 Router 很 简单 吧 ! 以 上 面 的 案例 来 说 ， 你 在 Linux Router 上 面 几 
乎 没有 作 什 么 额外 的 工作 ， 只 要 将 网 络 IP 与 网 络 接口 对 应 好 启动 ， 然 后 加 上 IP Forward 的 功 
能 ， 让 你 的 Linux 核心 支持 封包 转 递 ， 然 后 其 他 的 工作 咱们 的 Linux kernel 就 主动 帮 你 搞定 


了 ! 丨 是 好 简单 ! 


不 过 这 里 必须 要 提醒 的 是 ， 如 果 你 的 Linux Router 有 设 定 防火 墙 的 话 ， 而 且 还 有 设 定 类 似 
NAT 主机 的 IP 伪装 技术 ， 那 可 得 特别 留意 
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成 路 由 误 判 的 问题 ~ 上 述 的 


Linux Router 当中 『 并 没有 使 用 到 任何 NAT 的 功能 4 喔 1 特别 给 他 留意 到 ! 


其 实 封 包 是 可 以 由 


8.3 动态 路 由 器 架设 : quagga (zebra + ripd) 


We 
再 造 导 致 需要 重新 规划 子 网 网 段 ， 如 此 一 来 ， 你 就 得 要 在 图 8.2-1 的 RouterA 与 Linux 
Router 再 次 的 处 理 与 检查 路 由 规则 ， 丨 是 有 够 麻烦 的 ~ 那 能 不 能 让 路 由 器 自己 学 习 新 的 路 
由 ， 来 达成 自动 增加 该 笔 路 由 的 信息 呢 ? 


上 述 的 功能 就 是 所 谓 的 动态 路 由 。 动 态 路 由 通常 是 用 在 路 由 器 与 路 由 器 之 间 的 沟通 ， 所 以 要 
让 你 的 路 由 器 具有 动态 路 由 的 功能 ， 你 必须 要 了 解 到 对 方 路 由 器 上 面 所 提供 的 动态 路 由 协议 
才 行 ， 这 样 两 部 路 由 器 才能 够 透 过 DR 前 彼此 的 路 由 规则 。 目前 常见 的 动态 路 由 协议 
有 : RIPv1, RIPv2, OSPF, BGP 等 


想 要 在 CentOS 上 面 搞定 这 些 动态 路 由 的 相关 机 制 ， 那 就 得 要 使 用 quagga 这 个 软件 啦 ! 
个 软件 是 zebra 计划 的 延伸 ， 相 关 的 官网 说 明 可 以 参考 文 后 的 参考 数据 ( 注 3)。 二 
quagga ， 自 然 就 得 要 先 安装 他 鹃 ! 赶紧 处 理 吧 | 


[root@www ~]# yum install quagga 
[root@www ~]# ls -1 /etc/quagga 


-rw-r--r--. 1 root root 406 Jun 25 20:19 ripd.conf.sample 
-rw-r----- . 1 quagga quagga 26 Jul 22 11:11 zebra.conf 
-rw-r--r--. 1 root root 369 Jun 25 20:19 zebra.conf.sample 
让 (其 他 省 略 ) , ., ， 


这 个 软件 所 提供 的 各 项 动态 路 由 协议 都 放置 到 /etc/quaggay/ 目录 内 ， 底 下 我 们 以 较为 简单 的 
RIPv2 协议 来 处 理 动态 路 由 ， 不 过 你 得 要 注意 的 是 ， 不 论 你 要 启动 什么 动态 路 由 协议 ， 那 个 
zebra 都 必须 要 先 启 动 才 行 ! 这 是 因为 : 


e zebra 这 个 daemon 的 功能 在 更 新 核心 的 路 由 规则 ; 
e RIP 这 个 daemon 则 是 在 向 附近 的 其 他 Router 沟通 协调 路 由 规则 的 传送 与 否 。 


而 各 个 路 由 服务 的 配置 文件 都 必须 要 以 /etc/quagga/*.conf 的 档 名 来 储存 才 行 ， 如 上 表 我 们 可 
以 发 现 zebra 这 个 服务 是 有 设 定好 了 ， 不 过 ripd 的 档 名 却 不 是 .conf 结尾 。 所 以 我 们 必须 要 
额外 作 些 设 定 才 行 。 


为 了 练习 一 下 我 们 的 quagga ， 当 然 得 要 设计 一 下 可 能 的 网 络 联机 哆 ~ 假设 网 络 联机 的 图 标 如 


下 ， 共 有 三 个 区 网 的 网 段 ， 其 中 最 大 的 是 192.168.1.0/24 这 个 外 部 区 网 ， 另 有 两 个 内 部 区 网 
当 别 是 192.168.100.0/24 及 192.168.200.0/24 。 


[Pl1: 192,168.1.100,24 
[IP2: 192,168.100,254,24 
Default gateway: 192.168,1.254 


IP1: 192.168.1.200,24 
IP2: 192.168.200.254/24 
Default gateway: 192.168.1.254 





Switch 


PC ZI1 PCG) 
192.168.200.10 192.168.100.10 图 8.3-1、 练 习 动态 路 由 所 设 
定 的 网 络 联 机 示意 图 


上 图 的 两 部 Linux Router 分 别 负 责 不 同 的 网 域 ， 其 中 Router Z1 是 上 个 小 节 设 定好 之 后 就 保 
留 的 ， 左 边 的 Router Z2 则 是 需要 额外 设 定 的 路 由 器 喔 ! 两 部 Router 可 以 透 过 
192.168.1.0/24 这 个 网 域 来 沟通 。 在 没有 设 定 额外 路 由 规则 的 情况 下 ， 那 个 PC Z1 与 PC Z2 
是 无 法 沟通 的 ! 另外 ，quagga 必须 要 同时 安装 在 两 部 Linux Router 上 头 才 行 ， 而且 我 们 只 
要 设 定好 这 两 部 主机 的 网 络 接口 (eth0, eth1) 后 ， 不 需要 手动 输入 额外 的 路 由 设 定 喔 ! 可 以 透 
过 RIP 这 个 路 由 协议 来 搞定 的 ! 


。 1. 将 所 有 主机 的 IP 设 定 妥当 : 


这 是 最 重要 的 吧 ? 请 将 这 四 部 主机 (Router Z1, Router Z2, PC Z1, PC Z2) 的 网 络 参数 ， 
按照 图 8.3-1 的 模样 设置 妥当 。 设置 的 方式 请 参考 本 章 上 一 小 节 ， 或 者 是 依据 第 四 章 的 
4.2.1 来 设 定 嘿 ， 这 里 不 再 重复 说 明了 。 另 外， 在 Router Z1, Z2 的 部 分 还 得 要 加 上 修改 


ipforwrad 参数 ! 亦 即 是 /etc/sysctl.conf 的 设 定 值 喔 ! 这 个 乌 哥 也 常常 忘记 @@。 
e 2. 在 两 部 Router 上 面 设 定 zebra : 


我 们 先 设 定 图 8.3-1 右手 边 那 一 部 Router Z1， 关 于 zebra.conf 你 可 以 这 样 设 定 的 : 


# 1\， 先 设 定 会 影响 动态 路 由 服务 的 zebra 并 且 启 动 zebra 
[root@www ~]# vim /etc/quagga/zebra.conf 


hostname www.centos.vbird &1t ; == 给 了 予 这 个 路 由 器 一 个 主机 名 ， 随 便 取 1! 
password linuxz1 &1t ;== 给 予 一 个 密码 |! 
enable password linuxz1 &1t ;== 将 这 个 密码 生效 | 


1og file /var/log/quagga/zebra.log &Lt;== 将 所 有 zebra 产生 的 信息 存 到 登录 文件 中 


[root@www ~]# /etc/init.d/zebra start 

[root@www ~]# chkconfig zebra on 

[root@www ~]# netstat -tunlp &#124; grep zebra 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 © 127.0.0.1:2601 0.0.0.0:* LISTEN 4409/zebra 


仔细 看 ， 由 于 zebra 这 个 服务 的 任务 主要 是 在 修改 Linux 系统 核心 内 的 路 由 ， 所 以 他 仅 
监听 本 机 接口 而 已 ， 并 不 会 监听 外 部 的 接口 才 对 ! 另外 ， 在 zebra.conf 这 个 档案 当中 ， 
我 们 所 设 定 的 那个 密码 是 有 作用 的 唾 ! 可 以 让 我 们 登入 zebra 这 套 软 件 呢 1 好 了 ， 我 们 
来 查 一 查 这 个 2601 的 port 是 否 正确 的 局 动 的 呢 ? 


[root@www ~]# telnet localhost 2601 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is '^]'. 


Hello, this is Quagga (version 0.99.15). 
Copyright 1996-2005 Kunihiro Ishiguro, et al. 


User Access Verification 


Password: &1t;== 在 这 里 输入 刚刚 你 设 定 的 密码 啊 ! 
www.centos.vbird&gt; ? &lLt;== 在 这 边 输 入 『 ? J 就 能 够 知道 有 多 少 指令 可 使 用 


echo Echo a message back to the vty 

enable Turn on privileged mode command 

exit Exit current mode and down to previous mode 
help Description of the interactive help system 
list Print command list 

quit Exit current mode and down to previous mode 
show Show running system information 

terminal Set terminal line parameters 

who Display who is on vty 


www.centos.vbird&gt; list &lLt;== 列 出 所 有 可 用 指令 
echo ,MESSAGE 
. . (中间 省 略 ) , ，, ， 
Show debugging zebra 
Show history 
Show interface [IFNAME] 
. . (中 间 省 略 ) , ，, ， 
Show ip protocol 
show ip route 
ee 必 证 省 
www.centos.vbird&gt; show ip route 
Codes: K - kernel route, C - connected, S - static, R - RIP, 0 - OSPF, 
I - ISIS, B - BGP, &gt; - selected route, * - FIB route 





K&gt;* 0.0.0.0/0 via 192.168.1.254, eth0 &1t ; == 核心 直接 设 定 的 
C&gt;* 127.0.0.0/8 is directly connected, lo &1t;== 接 口 产 生 的 路 由 
K&gt;* 169.254.0.0/16 is directly connected，,，eth1  ”&lt;== 核 心 直 接 设 定 的 
C&gt;* 192.168.1.0/24 is directly connected，ethg  &l1t;== 接 口 产生 的 路 由 
C&gt;* 192.168.100.0/24 is directly connected, eth1 &1t ;== 接 口 产生 的 路 由 
www.centos.vbird&gt; exit 

Connection closed by foreign host. 


仔细 看 到 ， 我 们 登入 这 个 zebra 的 服务 之 后 ， 可 以 输入 『helpJ 或 问号 『?34 ，zebra 就 

会 显示 出 你 能 够 执行 的 指令 有 哪些 ， 比 较 常用 的 当然 是 查询 路 由 规则 嘿 ! 以 『 show ip 
route 」 来 查阅 ， 结 果 可 以 发 现 目 前 的 接口 与 默认 路 由 都 被 显示 出 来 了 ， 显 示 的 结果 当 
ee 


K : 代表 以 类 似 route 指令 加 入 核心 的 路 由 规则 ， 包 括 route-ethN 所 产生 的 规则 ; 
o C :代表 由 你 的 网 络 接 口 所 设 定 的 |P 而 产生 的 相关 的 路 由 规则 
S : 以 Zzebra 功能 所 设 定 的 静态 路 由 信息 ; 
R : 就 是 透 过 RIP 协议 所 增加 的 路 由 规则 嘿 ! 事实 上 ， 如 果 你 还 想 要 增加 额外 的 静 
态 路 由 的 话 ， 也 可 以 透 过 Zzebra 而 不 必 使 用 route 指令 呢 ! 例如 想 要 增加 
10.0.0.0/24 给 eth0 来 处 理 的 话 ， 可 以 这 样 做 : 


[root@www ~]# vim /etc/quagga/zebra.conf 
# 新 增 底 下 这 一 行 喔 ! 
ip route 10.0.0.0/24 etho 


[root@www ~]# /etc/init.d/zebra restart 

[root@www ~]# telnet localhost 2601 

Password: &1lt;== 这 里 输入 密码 

www.centos.vbird&gt; show ip route 

K&gt;* 0.0.0.0/0 via 192.168.1.254, etho 

&lt;u&gt;S&gt;* 10.0.0.0/24 [1/0] is directly connected, etho&]lt;/ug&gt; 
C&gt;* 127.0.0.0/8 is directly connected, lo 

K&gt;* 169.254.0.0/16 is directly connected, eth1 

C&gt;* 192.168.1.0/24 is directly connected, etho 

C&gt;* 192.168.100.0/24 is directly connected, eth1 


嘿嘿 | 立刻 就 会 多 出 一 笔 路 由 的 规则 ， 而 且 最 右边 会 显示 S， 亦 即 是 静态 路 由 (Static 
route) 的 意思 。 如 此 一 来 ， 我 们 系统 管理 员 可 就 轻松 多 了 | 设 定 完 右 边 Router Z1 的 
Zebra 之 后 ， 不 要 忘记 设 定 你 的 Router Z2 哆 ! 同样 的 设 定 再 来 一 遍 啦 | 只 是 主机 名 与 
密码 应 该 给 予 不 同 才 是 哆 ! 因为 过 程 都 一 样 ， 乌 哥 就 不 再 重复 设 定 。 接 下 来 我 们 可 以 开 
始 看 看 ripd 这 个 服务 鹃 ! 


3. 在 两 部 Router 上 面 设 定 ripd 服务 : 


ripd 这 个 服务 可 以 在 两 部 Router 之 间 进 行路 由 规则 的 交换 与 沟通 ， 当 js ， 如果 你 的 环 
境 里 面 有 类 似 Cisco 或 者 是 其 他 有 提供 RIP 协议 的 路 由 器 的 话 ， 那 么 你 当然 也 是 可 以 透 
过 这 个 RIP 让 你 的 Linux Router 与 其 他 硬件 路 由 器 互相 沟通 的 呐 | 只 不 过 CentOS 6.x 
的 quagga 所 提供 的 ripd 服务 使 用 的 是 RIPv2 版 本 ， 这 个 版 本 预 设 就 要 求 得 要 进行 身份 
验证 的 动作 ， 但 是 我 们 是 个 小 型 网 络 ， 并 不 想 要 加 入 这 个 身份 验证 的 功能 ， 因 此 就 得 要 
增加 某 些 设 定 值 才能 够 顺利 的 启动 ripd 哆 ! 


先 来 设 定 Router Z1 吧 ! 在 Router Z1 当中 ， 我 们 主要 是 透 过 eth0 发 送 所 有 的 网 域 路 由 
人 信息， 同时， 我 们 管理 的 网 域 有 192.168.1.0/24, 192.168.100.0/24。 再 加 上 取消 身份 验 
证 的 设 定 值 后 ， 我 们 的 ripd 就 会 变 成 这 样 : 


[root@www ~]# vim /etc/quagga/ripd.conf 


hostname www.centos.vbird &1t ;== 这 里 是 设 定 Router 的 主机 名 而 已 

password linuxz1 &1t ;== 设 定好 你 自己 的 密码 喔 ! 

debug rip events &1t;== 可 以 记录 较 多 的 错误 讯息 ! 

debug rip packet &1t ;== 乌 哥 透 过 这 个 讯息 解决 很 多 问题 

router rip &1t ;== 启 动 Router 的 rip 功能 

version 2 &1lt ;== 启 动 的 是 RIPV2 的 服务 (默认 值 ) 

network 192.168.1.0/24 &1t ;== 这 两 个 就 是 我 们 管理 的 接口 哩 |! 

network 192.168.100.0/24 

&lt;u&gt;interface etho9&lt;/u&gt ; &1lLt;== 针 对 外 部 的 那个 接口 ， 要 略 过 身 
&lt;u&gt;no ip rip authentication mode&lt;/u&dgt:; &1t ;== 就 是 这 个 项 目 ! 不 要 验证 身份 ! 


log file /var/log/quagga/zebra.log &lt;== 登 录 档 设 定 与 Zzebra 相同 即 可 


[root@www ~]# /etc/init.d/ripd start 

[root@www ~]# chkconfig ripd on 

[root@www ~]# netstat -tulnp &#124; grep ripd 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 © 127.0.0.1:2602 0.0.0.0:* LISTEN 4456/ripd 

udp 0 0 0.0.0.0:520 0.0.0.0:* 4456/ripd 

# 新 版 的 quagga 启动 的 2602 仅 在 127.9.9.1， 是 透 过 port 529 来 传递 信息 ! 








基本 上 ， 这 样 就 设 定 完成 一 部 路 由 器 的 RIP 动态 路 由 协议 了 | 在 上 头 ripd.conf 的 设 定 当 
中 ， 他 会 主动 以 eth0 及 192.168.1.0/24 这 个 网 域 的 功能 来 进行 搜索 ， 如 此 一 来 ， 未 来 
你 进行 任何 路 由 规则 的 变动 ， 或 者 是 整个 网 域 的 主机 IP 进行 更 动 ， 你 将 不 需要 重新 到 每 
部 Router 上 更 动 ! 因为 这 些 路 由 器 会 自动 的 更 新 他 们 自己 的 规则 喔 ! 嘿嘿 1 接 下 来 ， 同 
样 的 动作 请 你 到 图 8.3-1 左边 那 部 Router Z2 上 面 设 定 一 下 ! 因为 整个 设 定 的 流程 都 一 
样 ， 所 以 这 里 乌 哥 就 省 略 啦 ! 


。 4. 检查 RIP 协议 的 沟通 结果 : 


在 两 部 Linux Router 都 设 定 受 当 之 后 ， 你 可 以 登入 zebra 去 看 这 两 部 主机 的 路 由 更 新 结 
果 喔 ! 举例 来 说 ， 乌 哥 登 入 图 8.3-1 右边 那 部 Router Z1 后 ， 并 且 登 入 zebra ， 观 察 路 
由 会 是 这 样 的 情况 : 


[root@www ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.100.0 0.0.0.0 2552555259580 U 0 0 9 eth1 
10.0.0.0 0.0.0.0 25955255259580 U 0 0 9 etho 
192.168.1.0 0.0.0.0 2558255259580 U 0 0 9 etho 
192.168.200.0 192 .168.1.200 255.255.255.0 UG 2 0 9 etho 
0.0.0.0 192 .168.1.254 0.0.0.0 0 0 9 etho 


UG 
# 其 实 看 路 由 就 知道 啦 ! 那 条 有 点 线 的 就 是 新 增 的 路 由 规则 ! 很 清楚 ! 
[root@www ~]# telnet localhost 2601 
Password: &1t;== 不 要 忘记 了 密码 响 | 
www.centos.vbird&gt; show ip route 


Codes: K - kernel route, C - connected, S - static, R - RIP, 0 - OSPF, 
I - ISIS, B - BGP, &gt; - selected route, * - FIB route 


K&gt;* 0.0.0.0/0 via 192.168.1.254, etho 

S&gt;* 10.0.0.0/24 [1/0] is directly connected，ethg 

C&gt;* 127.0.0.0/8 is directly connected, lo 

K&gt;* 169.254.0.0/16 is directly connected, eth1 

C&gt;* 192.168.1.0/24 is directly connected, etho 

C&gt;* 192.168.100.0/24 is directly connected, ethi1 

R&gt;* 192.168.200.0/24 [120/2] via 192.168.1.200, eth0O, 00:02:43 


如 果 你 有 看 到 上 述 的 字体 ， 嘿 嘿 ! 那 就 是 成 功 啦 ! 那个 最 左边 的 R 代表 的 是 透 过 RIP 通 
讯 协 议 所 设 定 的 路 由 规则 啦 ! 如 此 一 来 ， 咱 们 的 路 由 器 设 定 就 搞定 鹃 一 如 果 一 切 都 没有 
问题 ， 你 也 想 要 开机 就 启动 zebra, ripd， 那 么 还 得 要 这 样 : 


[root@www ~]# chkconfig zebra on 
[root@www ~]# chkconfig ripd on 


透 过 这 个 quagga 以 及 RIPv2 的 路 由 协议 的 辅助 ， 我 们 可 以 轻松 的 就 将 路 由 规则 分 享 到 附近 
区 网 的 其 他 路 由 器 上 头 ， 比 起 单纯 使 用 route 去 修改 Linux 的 核心 路 由 表 ， 这 个 动作 当然 要 
快速 很 多 ! 不 过 ， 如 果 是 很 小 型 的 网 络 环境 ， 那 么 不 要 使 用 这 个 quagga 啊 ! 因为 有 点 多 此 一 
举 的 感觉 。 如 果 你 的 企业 环境 真 的 有 够 大 ， 那 么 玩 一 玩 这 个 quagga 配合 一 些 动态 路 由 协议 ， 
嘿嘿 1 也 是 可 行 的 啦 ! 


Tips: 乌 哥 差 一 点 被 这 一 版 的 ripd.conf 设 定 内 容 摘 死 一 因为 CentOS 5.x 以 后 的 版 本 预 设 的 
RIPv2 会 去 进行 身份 验证 ， 所 以 原先 在 CentOS 4.x 的 设 定 是 不 能 用 的 ， 偏 偏 登录 档 又 看 不 出 
个 所 以 然 .. 后 来 查 到 可 以 透 过 ripd.conf 内 的 debug 参数 去 设 定 除 错 登录 ， 才 发 现 RIPv2 的 认 
证 问题 ! 最 终 google 一 下 才 解 决 问题 好 累 啊 | 


8.4 特殊 状况 : 路 由 器 两 边界 面 是 同一 个 IP 网 段 : 
ARP Proxy 


如 果 你 一 开始 设计 的 网 络 环境 就 是 同一 个 Class C 的 网 域 ， 例 如 192.168.1.0/24 ， 后 来 因为 
某 些 因素 必须 要 将 某 些 主机 搬 到 比较 内 部 的 环境 中 ， 例 如 图 8.2-1 的 clientlinxu, winxp, win7 。 
然后 又 因为 菜 些 因素 ， 所 以 你 不 能 变更 这 些 计 算 机 的 IP， 人 的 同一 网 域 就 会 横 跨 在 一 个 
路 由 器 的 左右 两 边 了 | 举例 来 说 ， 联机 图 示 有 点 像 底下 这 
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| Defwhgwowmr 19.1681254 | 图 8.4-1、 在 路 由 器 
两 个 界面 两 边 的 |P 是 在 同 a 青 况 


初次 见面 ~ 看 到 眼睛 快要 掉 下 来 哩 ! 怎么 路 由 器 的 两 边 的 主机 IP 设 定 都 在 同一 个 网 域内 ?3 而 
且 还 被 规定 不 能 够 更 改 原先 的 IP 设 定 ，... 曝 是 一 个 头 两 个 大 啊 一 如 此 一 来 ， 在 Linux Router 
两 边 要 如 何 制作 路 由 啊 ? 好 问题 ! 夏 是 好 问题 ~ 因为 OSI 第 三 层 网 络 层 的 路 由 是 一 条 一 条 去 
设 定 比 对 的 ， 所 以 如 果 两 块 网 卡 上 面 都 是 同一 个 网 域 的 1P ， 就 会 发 生 错误 。 那 如 何 处 理 
啊 ? 


我 们 先 从 两 方面 来 说 ， 第 一 个 ， 当 从 正确 的 网 段 (PC1) 要 联机 到 PC2~PC4 时 ， 他 应 该 是 要 
透 过 Linux Router 那 部 主机 的 对 外 1IP (192.168.1.100) 才 行 ! 而 且 Linux Router 还 必须 要 让 
该 封包 透 过 内 部 IP (192.168.1.200) 联机 到 PC2~PC4 。 此 时 ， 封 包 传 递 的 图 示 有 点 像 这 

样 : 


我 放下 的 对 六 目 科 外 部 etho 说 :是 我 | 
你 的 资料 请 将 给 









是 pc2, 谁 是 pc2 啊 ? 号 
跟 我 同 网 段 的 ? 2 ] 
ter | 
~ 
透 过 路 由 设 定 ,将 
cs 封包 转 由 内 部 下 传 
到 正确 的 PC 上 


PC PC 3 Pe 图 8.4-2、 正 常 的 网 段 想 要 传送 到 内 部 
计算 机 去 的 封包 流向 
在 这 个 阶段 ， 我 们 可 以 设 定 PC2~PC4 的 IP 所 对 应 的 网 卡 卡号 (MAC) 都 设 定 在 router 的 对 外 
网 卡 上 ， 因 此 ，router 的 对 外 接口 可 以 将 给 PC2~PC4 的 封包 给 『 骗 ] 过 来 。 接 下 来 ， 就 简 
单 的 透 过 路 由 设 定 ， 让 封包 转 个 接口 发 送出 去 即 可 。 这 样 PC1 --> PC2 的 问题 解决 了 ， 但 是 
PC2 怎么 传送 到 PC1 呢 ?我们 可 以 透 过 底下 的 图 示 来 想象 一 下 : 






外 部 eth0 说 : 
是 正确 的 网 段 交 给 我 中、 
ter xx ) 
内 部 eh 说 
没 措 ! 这 两 个 下 也 
在 我 的 ehl 上 面 | 


我 传 出 的 封包 目标 
是 PC1 或 router 三 RS NS 
mg SS QS 
PC2 PC 3 PC 4 图 8.4-3、 内 部 计算 机 想 要 传送 到 


正常 网 域 时 的 封包 流向 

当 PC2 要 传送 的 封包 是 给 PC3, PC4 的 ， 那 么 这 个 封包 得 要 能 够 直接 传递 。 但 是 如 果 需 要 传 
送 到 正常 网 域 的 封包 ， 就 得 要 透 过 router 的 对 内 网 卡 ， 再 透 过 路 由 规则 来 将 该 封包 导向 外 部 
接口 来 传递 才 行 ! 这 个 时 候 就 变 成 内 部 的 接口 其 骗 PC2 说 ，PC1 与 RouterA 的 IP 是 在 内 部 
这 张 接 口上 就 是 了 ， 然 后 再 透 过 路 由 判断 将 该 封包 透 过 外 部 接口 来 对 外 传递 出 去 即 可 。 假设 
Linux router 的 对 外 界面 为 eth0 而 对 内 为 eth1 时 ， 我 们 可 以 这 样 说 : 


1， 当 Linux Router 的 eth0 那个 网 域 主机 想 要 连接 到 PC2~PC4 的 主机 时 ， 由 Linux Router 
负责 接收 ; 


2. 当 Linux Router 要 传送 数据 到 PC2~PC4 时 ， 务 必要 由 eth1 来 传送 
， 当 内 部 计算 机 想 要 连接 到 PC1 或 RouterA 时 ， 由 Linux router 的 eth1 负责 接收 ; 
4， 当 Linux Router 要 传送 的 数据 为 192.168.1.0/24 ， 但 并 非 PC2~PC4 时 ， 需 由 eth0 传 


上 列 的 步骤 与 图 示 内 的 线条 上 的 顺序 相符 合 哟 |! 得 要 对 照 着 看 看 。 其 中 的 (1) 与 (3) 就 是 透 过 
ARP Proxy (代理 ) 的 功能 啦 | 那 啥 是 ARP Proxy 呢 ? 简单 的 说 ， 就 是 让 我 的 某 张 适 配 卡 的 
MAC 代理 其 他 主机 的 IP 对 应 ， 让 想 要 连接 到 这 个 IP 的 MAC 封包 由 我 帮 他 接 下 来 的 意思 。 
举 我 们 图 8.4-1 的 例子 来 说 ， 就 是 在 Linux Router 的 eth0 界面 上 ， 规 定 192.168.1.10， 
192.168.1.20, 192.168.1.30 这 三 个 IP 都 对 应 到 eth0 的 MAC 上 ， 所 以 三 个 IP 的 封包 就 会 由 
eth0 代为 收 下 ， 因 此 才 叫 做 ARP 代理 人 嘛 ! 所 以 啦 ， 每 一 部 在 eth0 那 端的 主机 都 会 『 误 
判 了 4 那 三 个 IP 是 Linux Router 所 拥有 ， 这 样 就 能 够 让 封包 传 给 Linux Router 啦 ! 


再 接 下 来 ， 咱 们 的 Linux Router 必须 要 额外 指定 路 由 ， 设 定 情况 为 : 


目标 是 PC2 ~ PC4 时 ， 该 路 由 必须 要 由 内 部 的 eth1 发 送出 去 才 行 ， 
目标 不 为 PC2 ~ PC4 ， 且 目标 在 192.168.1.0/24 的 网 域 时 ， 需 由 eth0 发 送出 去 才 


oo 


说 涪 


~ 


也 就 是 说 ， 你 必须 要 指定 路 由 规则 当中 ， 那 个 PC2~PC4 具有 优先 选择 权 ， 然 后 其 他 的 同 网 
域 封包 才 由 eth0 来 传送 。 这 样 就 能 够 达成 我 们 所 想 要 的 结局 啦 1 ^^ | 看 样子 似乎 很 难 ， 其 
实 设 定 方面 还 挺 简单 的 ， 你 可 以 透 过 arp 以 及 route 这 两 个 指令 来 达成 喔 |! 


。 外 部 接口 eth0 : 08:00:27:71:85:BD 
e 内 部 接口 eth1 : 08:00:27:2A:30:14 


# 1\， 先 设 定 外 部 ethg 的 ARP Proxy， 让 三 个 IP 对 应 到 自己 的 MAC 
[root@www ~]# arp -i etho -s 192.168.1.10 08:00:27:71:85:BD pub 
[root@www ~]# arp -i etho -s 192.168.1.20 08:00:27:71:85:BD pub 
[root@www ~]# arp -i etho -s 192.168.1.30 08:00:27:71:85:BD pub 
[root@www ~]# arp -n 


Address Hwtype Hwaddress Flags Mask Iface 
192.168.1.30 * 的 MP etho 
192.168.1.10 MP etho 
192.168.1.20 * MP etho 


# 首先 需要 让 外 部 接口 拥有 三 个 IP 的 操控 权 ， 透 过 这 三 个 指令 来 建立 ARP 对 应 |! 


# 2\， 开 始 处 理 路 由 ， 增 加 PC2~PC4 的 单机 路 由 经 过 内 部 的 eth1 来 传递 
[root@www ~]# route add -host 192.168.1.10 ethi 

[root@www ~]# route add -host 192.168.1.20 ethi 

[root@www ~]# route add -host 192.168.1.30 ethi 

[root@www ~]# route -n 

Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.20 0.0.0.0 255.255.255.255 UH 0 0 9 eth1 
192.168.1.10 0.0.0.0 2D5R255255 255UH 0 0 9 eth1 
192.168.1.30 0.0.0.0 255.255.255.255 UH 0 0 9 eth1 
192.168.1.0 0.0.0.0 255%255525550 U 0 0 9 etho 
192.168.1.0 0.0.0.0 2552552550 U 0 0 9 eth1 
0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 9 etho 
# 这 样 就 处 理 好 单 向 的 单机 路 由 史 ! 人 题 啊 ! 那 就 是 192.168.1.0/24 

# 的 网 域 ， 两 个 接口 都 可 以 传送 ! 因此 ， 等 一 下 第 四 个 步骤 得 要 将 eth1 删除 才 行 ! 


3\， 设 定 一 下 内 部 的 ARP Proxy 工作 ( 绑 在 eth1 上 头 史 ) ! 

[root@www ~]# arp -i eth1 -s 192.168.1.101 08:00:27:2A:30:14 pub 
[root@www ~]# arp -i eth1 -s 192. 168.1.254 08:00: 人 pub 
# 这 样 可 以 骗 过 PC2 ~ PC4 ， 让 这 三 部 主机 传递 的 封包 可 以 透 过 router 来 传递 | 


4\， 开 始 清除 掉 ethl 的 192.168.1.0/24 路 由 
[root@www ~]# route del -net 192.168.1.0 netmask 255.255.255.0 eth1 


所 有 的 计算 机 都 在 同一 个 网 域内 ， 因 此 default gatway 都 是 192.168.1.254 ， 而 netmask 都 
是 255.255.255.0 ， 只 有 IP 不 一 样 而 已 。 最 后 ， 所 有 的 计算 机 都 可 以 直接 跟 对 方 联机 ， 也 能 
够 顺利 的 连 上 Internet ! 这 样 的 设 定 就 能 够 满足 上 述 的 功能 需求 哩 1 如 果 一 切 都 没有 问题 ， 
那么 将 上 述 的 指令 写成 一 个 脚本 档 ， 例 如 /root/bin/network.sh ， 然 后 将 该 档案 设 定 为 可 执 

行 ， 并 将 它 写 入 /etc/rc.d/rc.local ， 同 时 每 次 重新 启动 网 络 后 ， 就 得 要 重新 执行 一 次 该 脚本 ， 
即 可 达到 你 的 需求 嘿 ! 


0 ， 能 不 能 联机 其 实 与 路 由 的 关系 才 大 哩 ! 而 路 由 是 双向 
的 ， 你 必须 要 考虑 到 这 个 封包 如 何 回来 的 问题 喔 ! 


8.5 重点 回顾 


网 络 卡 的 代号 为 eth0, eth1, eth2...， 而 第 一 张 网 络 卡 的 第 一 个 虚拟 接口 为 eth0:0 .… 

网 络 卡 的 参数 可 使 用 ifconfig 直接 设 定 ， 亦 可 使 用 配置 文件 如 /etc/sysconfig/network- 
scripts/ifcfg-ethn 来 设 定 ; 

路 由 是 双向 的 ， 所 以 由 网 络 封包 发 送 处 发 送 到 目标 的 路 由 规划 ， 必 须要 考虑 回程 时 是 否 
具有 相对 的 路 由 ， 否 则 该 封包 可 能 会 『 遗 失 」 ; 

每 部 主机 都 有 自己 的 路 由 表 ， 此 路 由 表 (routing table) 是 作为 封包 传送 时 的 路 径 依据 ; 
每 部 可 对 外 Internet 传送 封包 的 主机 ， 其 路 由 信息 中 应 有 一 个 预 设 路 由 (default 
gateway) ; 

要 让 Linux 作为 Router 最 重要 的 是 启动 核心 的 IP Forward 功能 ; 

重复 路 由 可 能 会 让 你 的 网 络 封包 传递 到 错误 的 方向 ; 

动态 路 由 通常 是 用 在 两 个 Router 之 间 沟 通 彼 此 的 路 由 规则 用 的 ， 常 见 的 Linux 上 的 动态 
路 由 套件 为 zebra ; 

arp proxy 可 以 透 过 arp 与 route 的 功能 ， 让 路 由 器 两 端 都 在 同一 个 网 段 内 ; 

一 般 来 说 ， 路 由 器 上 都 会 有 两 个 以 上 的 网 络 接口 

事实 上 ，Router 除了 作为 路 由 转换 之 外 ， 在 Router 上 面 架 设防 火 墙 ， 亦 可 在 企业 内 部 再 
分 隔 出 多 个 需要 安全 (Security) 的 单位 数据 的 区 隔 ! 


8.6 本 章 习 题 


在 练习 人 关 信 息 后 ， 请 将 网 络 环境 还 原 成 如 图 3.2-1 的 模样 ! 以 方便 未 来 后 续 
章节 的 练习 喔 ! 这 个 章节 的 路 由 器 确实 是 有 点 麻烦 的 1^ 人 人 ^ 


请 问 你 如 何 将 你 的 eth0 这 个 接口 修改 成 为 192.168.100.2 在 网 域 192.168.100.0/25 之 内 
的 网 络 参数 内 容 ? 因为 192.168.100.0/25 的 netmask 为 255.255.255.128 ， 所 以 可 以 这 
样 做 : ifconfig eth0 192.168.100.2 netmask 255.255.255.128 up 这 样 即 可 ! 如 果 尚 须 其 
他 的 参数 ， 则 需要 以 档案 形式 来 下 达 ， 如 vi /etc/sysconfig/network-scripts/ifcfg-eth0， 并 
修改 为 : DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.100.2 
NETMASK=255.255.255.128 NETWORK=192.168.100.0 
BROADCAST=192.168.100.127 


请 手动 设 定 eth0:1 这 个 虚拟 接口 ， 使 成 为 网 络 参数 : 192.168.200.2, 网 域 在 
192.168.200.0/24 °。ifconfig eth0:1 192.168.200.2 up 

如 何 观察 路 由 表 ?route -n 即 可 查阅 ! 注意 到 0.0.0.0 那个 目标 (default gateway)。 

如 何 启 动 Linux 的 IP Forward 功能 ? 直接 以 『echo "1" > /proc/sys/net/ipv4/ip_forward 
」 即 可 |! 

假设 你 是 一 个 学 校 单位 的 信息 管理 员 ， 学 校内 有 200 部 计算 机 ， 奉 上 面 大 头 的 旨意 ， 必 
须要 将 200 部 计算 机 分 为 4 个 ， 请 问 你 应 该 如 何 布线 (请 画 出 示意 图 )? 而 这 4 个 
Subnet 的 网 络 参数 如 何 选择 (请 择 )? 而 是 否 需要 Router ? 如 果 需 要 的 话 ， 假 设 每 
个 Router 仅 能 有 两 个 网 ee ， 么 该 如 何 布线 ? ( 注 : 不 要 使 用 虚拟 接口 ) 
假设 你 想 要 连接 到 168.95.1.1， 那 么 你 该 如 何 判断 你 经 过 『 多 少 个 」 节点 ?可 以 使 用 
traceroute 168.95.1.1 来 分 析 每 个 节点 的 传送 信息 ， 也 可 以 透 过 ping 168.95.1.1 所 回 传 
的 那个 tt| 值 判断 节点 数量 。 

万 一 你 的 网 络 有 点 停顿 ， 发 现 可 能 是 网 络 上 某 个 节点 出 现 问题 ， 你 应 该 如 何 确认 是 哪 一 
部 Router 出 问题 ?就 利用 traceroute 吧 | 


8.7 参考 数据 与 延伸 阅读 


e。 注 1: 网 中 人 写 的 『 带 宽 负 载 平衡 上 : http://www.study-area.org/tips/multipath.htm 

e 注 2 :; 一 些 生产 网 络 硬 设备 的 公司 : 思科 (Cisco) : http://www.cisco.com/ 友 讯 (D-Link) 
: http://www.dlinktw.com.tw/ 普 联 技术 (TP-Link) : http://www.tplink.com.tw/ 

。 注 3 : 动态 路 由 架设 软件 : 动态 路 由 软件 Quagga: http:/www.quagga.net 动态 路 由 软件 
zebra: http://www.zebra.org Ben 哥 写 的 『 实 作 Linux 动态 路 
由 4 : http://linux.vbird.org/somepaper/20060714-linux_cisco_route.pdf quagga 官方 操 
作文 件 : http://www.quagga.net/docs/quagga.pdf 


酷 学 园 的 ARP Proxy : http://phorum.study-area.org/viewtopic.php?t=5619 
。 酷 学 园 ericshei 的 ARP Proxy 分 享 : http://phorum.study-area.org/viewtopic.php? 
t=22943 


2002/08/09 : 第 一 次 完成 日 期 ! 2003/08/22 : 重新 编辑 文章 ， 并 增加 重点 回顾 与 课 后 练习 
2006/08/21 : 将 目的 文章 移动 到 此 处 。2006/08/30 : 加 入 了 zebra 以 及 ARP Proxy 等 与 
Router 比较 相关 的 议题 ! 2010/09/23 : 将 昌 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 
2010/10/26 : 修订 了 部 分 数据 ， 尤 其 是 ARP 的 说 明 部 分 ! 不 过 ， 重 点 于 题目 都 还 没有 更 新 ! 
2011/07/21 : 将 基于 CentOS 5.x 的 文章 移动 到 此 处 2011/07/22 : 将 网 域 做 成 统一 的 格式 ， 就 
是 用 第 三 章 的 区 网 架构 来 处 理 的 喔 ! 


可 的 Linux 私 房 注 : 服 加 沁 入 和 馆 - 
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最 近 更 新 日 期 : 2011/07/22 


从 第 七 章 的 图 7.1-1 我 们 可 以 发 现 防火 墙 是 整个 封包 要 进入 主机 前 的 第 一 道 关卡 ， 但 ， 什 么 是 
防火 墙 ?Linux 的 防火 墙 有 哪些 机 制 ? 防火 墙 可 以 达到 与 无 法 达到 的 功能 有 哪些 ? 防火 墙 能 
不 能 作为 区 域 防火 墙 而 不 是 仅 针对 单一 主机 而 已 呢 ? 其 实 ，Linux 的 防火 墙 主要 是 透 过 
Netfilter 与 TCP Wrappers 两 个 机 制 来 管理 的 。 其 中 ， 透 过 Netfilter 防火 墙 机 制 ， 我 们 可 以 达 
到 让 私有 |P 的 主机 上 网 (IP 分 享 器 功能 )， 并 且 也 能 够 让 Internet 连 到 我 内 部 的 私有 IP 所 架 
设 的 Linux 服务 器 (DNAT 功能 ) ! 鉴 的 很 不 赖 喔 ! 这 一 章 对 您 来 说 ， 也 师 的 有 够 重要 的 啦 ! 


e。 9.1 认识 防火 墙 
9.1.1 开始 之 前 来 个 提醒 事项 
9.1.2 为 何 需要 防火 墙 
9.1.3 Linux 系统 上 防火 墙 的 主要 类 别 
9.1.4 防火 墙 的 一 般 网 络 布线 示意 
9.1.5 防火 墙 的 使 用 限制 
®。 9.2 TCP Wrappers 
o 9.2.1 哪些 服务 有 支持 : ldd 
o 9.2.2 /etc/hosts.{allow|deny} 的 设 定 方式 
e。 9.3 Linux 的 封包 过 滤 软 件 : iptables 
o 9.3.1 不同 Linux 核心 版 本 的 防火 墙 软件 
o 9.3.2 封包 进入 流程 : 规则 顺序 的 重要 性 ! 
o 9.3.3 iptables 的 表格 (table) 与 链 (chain) 
o 9.3.4 本 机 的 iptables 语法 
o 9.3.4-1 规则 的 观察 与 清除 
o。 9.3.4-2 定义 预 设 政策 (policy) 
o 9.3.4-3 封包 的 基础 比 对 : |P, 网 域 及 接口 装置 : 信任 装置 , 信任 网 域 
o 9.3.4-4 TCP, UDP 的 规则 比 对 : 针对 埠 口 设 定 
o 9.3.4-5 iptables 外 挂 模块 : mac 与 state 
o 9.3.4-6 ICMP 封包 规则 的 比 对 : 针对 是 否 响应 ping 来 设计 
o 9.3.4-7 超 阳 春 客 户 端 防火 墙 设 计 与 防火 墙 规则 储存 
o 9.3.5 IPv4 的 核心 管理 功能 : /proc/sys/net/ipv4/* 
e 9.4 单机 防火 墙 的 一 个 实例 
o 9.4.1 规则 草拟 
o 9.4.2 实际 设 定 
e。 9.5 NAT 服务 器 的 设 定 
o 9.5.1 什么 是 NAT? SNAT? DNAT? 
o 9.5.2 最 阳春 NAT 服务 器 : IP 分 享 功 能 


O 


O 


O 


O 


O 
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o 9.5.3 iptables 的 额外 核心 模块 功能 
o 9.5.4 在 防火 墙 后 端 之 网 络 服务 器 DNAT 设 定 
9.6 重点 回顾 
9.7 本 章 习题 
9.8 参考 数据 与 延伸 阅读 
9.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=114475 
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9.1 认识 防火 墙 


网 络 安 全 除了 随时 注意 相关 软件 的 漏洞 以 及 网 络 上 的 安全 通报 之 外 ， 你 最 好 能 够 依据 自己 的 
环境 来 订 定 防火 墙 机 制 ! 这 样 对 于 你 的 网 络 环境 ， 会 比较 有 保障 一 点 喔 ! 那么 什么 是 防火 墙 
呢 ? 其 实 防火 墙 就 是 透 过 订 定 一 些 有 顺序 的 规则 ， 并 管制 进入 到 我 们 网 域内 的 主机 (或 者 可 以 
说 是 网 域 ) 数据 封包 的 一 种 机 制 ! 更 广义 的 来 说 ， 只 要 能 够 分 析 与 过 滤 进 出 我 们 管理 之 网 域 的 
封包 数据 ， 就 可 以 称 为 防火 墙 。 


防火 墙 又 可 以 分 为 硬件 防火 墙 与 本 机 的 软件 防火 墙 。 硬 件 防 火 墙 是 由 厂商 设计 好 的 主机 硬 
件 ， 这 部 硬件 防火 墙 内 的 操作 系统 主要 以 提供 封包 数据 的 过 滤 机 制 为 主 ， 并 将 其 他 不 必要 的 
功能 拿 掉 。 因 为 单纯 作为 防火 墙 功能 而 已 ， 因 此 封包 过 滤 的 效率 较 佳 。 至 于 软件 防火 墙 呢 ? 
那 就 是 我 们 这 个 章节 要 来 谈论 的 啊 ! 软件 防火 墙 本 身 就 是 在 保护 系统 网 络 安全 的 一 套 软 件 (或 
称 为 机 制 )， 例 如 Netfilter 与 TCP Wrappers 都 可 以 称 为 软件 防火 墙 。 


无 论 怎么 分 ， 反 正 防火 墙 就 是 用 来 保护 我 们 网 络 安全 的 吹 吹 就 对 啦 ! 我 们 这 个 章节 主要 在 介 
绍 Linux 系统 本 身 提供 的 软件 防火 墙 的 功能 ， 那 就 是 Netfilter 。 至 于 TCP Wrappers 虽然 在 
基础 篇 的 第 十 八 章 认识 系统 服务 里 面谈 过 了 ， 我 们 这 里 还 会 稍微 简单 的 介绍 啦 ! 


9.1.1 开始 之 前 来 个 提醒 事项 


由 于 本 章 主 要 的 目的 在 介绍 Netfilter 这 种 封包 过 滤 式 的 防火 墙 机 制 ， 因 此 网 络 基础 里 面 的 许 
多 封包 与 讯 框 的 概念 要 非常 清楚 ， 包括 网 域 的 概念 , IP 网 域 的 撰写 方式 等 ， 均 需 有 一 定 的 基 
础 才 行 。 请 到 第 二 章 加 强 一 下 MAC, IP, ICMP, TCP, UDP 等 封包 表 头 数据 的 认识 ， 以 及 
Network/Netmask 的 整体 网 域 (CIDR) 写法 等 。 


另外 ， 虽 然 Netfilter 机 制 可 以 透 过 iptables 指令 的 方式 来 进行 规则 的 排序 与 修改 ， 不 过 鸟 哥 
建议 你 利用 shell script 来 撰写 属于 你 自己 的 防火 墙 机 制 比较 好 ， 因 为 对 于 规则 的 排序 与 汇 整 
有 比较 好 的 观察 性 ， 可 以 让 你 的 防火 墙 规则 比较 清晰 一 点 。 所 以 在 你 开始 了 解 底下 的 资料 之 
前 ， 和 希望 你 可 以 先 阅读 过 相关 的 数据 了 : 


。 已 经 认识 Shell 以 及 Shell script ; 

。 已 经 阅读 过 第 二 章 网 络 基础 的 内 容 ; 

e。 已 经 阅读 过 第 七 章 认识 网 络 安全 的 内 容 ; 

。 已 经 阅读 过 第 八 章 路 由 器 的 内 容 ， 了 解 重要 的 路 由 概念 ; 

。 最 好 拥有 两 部 主机 以 上 的 小 型 局 域 网 络 环境 ， 以 方便 测试 防火 墙 ; 

。 做 为 区 域 防火 墙 的 Linux 主机 最 好 有 两 张 实体 网 卡 ， 可 以 进行 多 种 测试 ， 并 架设 NAT 服 


oe 。 
务 器 
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9.1.2 为 何 需要 防火 墙 


仔细 分 析 第 七 章 的 图 7.1-1 可 以 发 现 ， 封 包 进入 本 机 时 ， 过 防火 墙 、 服 务 器 软件 程序 、 
SELinux 与 文件 系统 等 。 所 以 基本 上 ， 如 果 你 的 系统 (1 Wd 需要 而 且 危 险 的 服务 ; (2) 
已 经 将 整个 系统 的 所 有 软件 都 保持 在 最 新 的 状态 ; (3) 权 限 设 定 妥 当 且 定时 进行 备份 工作 ; 

(4) 已 经 教育 用 户 具 有 良好 的 网 络 、 系 统 操作 习惯 。 那么 你 的 系统 实际 上 已 经 碧 为 安全 了 ! 要 
不 要 架设 防火 墙 ? 了 那 就 见仁见智 史 ! 


不 过 ， 毕 竞 网 络 世 界 是 很 复杂 的 ， 而 Linux 主机 也 不 是 一 个 简单 的 东西 ， 说 不 定 哪 一 天 你 在 
某 个 软件 的 测试 时 ， 主 机 突然 间 就 启动 了 一 个 网 络 服务 ， 如 果 你 没有 管制 该 服务 的 使 用 

那么 该 服务 就 等 于 对 所 有 Internet 开放 ， 那 就 麻烦 了 | 因为 该 服务 可 能 可 以 允许 任何 
aa 你 的 系统 ， 那 不 是 挺 危险 ? 


所 以 嚼 ， 防 火 墙 能 作 什么 呢 ? 防火 墙 最 大 的 功能 就 是 帮助 你 『 限 制 某 些 服务 的 存 取 来 源 」 | 
举例 来 说 : (1) 你 可 以 限制 文件 传输 服务 (FTP) 只 在 子 域内 的 主机 才能 够 使 用 ， 而 不 对 整个 
Internet 开放 ; (2) 你 可 以 限制 整 部 Linux 主机 仅 可 以 接受 客户 端的 WWW 要 求 ， 其 他 的 服务 
都 关闭 ; (3) 你 还 可 以 限制 整 部 主机 仅 能 主动 对 外 联机 。 反 过 来 说 ， 若 有 客户 端 对 我 们 主机 发 
送 主动 联机 的 封包 状态 (TCP 封包 的 SYN flag) 就 子 以 抵挡 等 等 。 这 些 就 是 最 主要 的 防火 墙 功 
能 了 ! 


所 以 岛 哥 认为 ， 防 火 墙 最 重要 的 任务 就 是 在 规划 出 : 


。 切割 被 信任 (如 子 域 ) 与 不 被 信任 (如 Internet) 的 网 段 ; 
e 划分 出 可 提供 Internet 的 服务 与 必须 受 保护 的 服务 ; 
e 分 析出 可 接受 与 不 可 接受 的 封包 状态 ; 


当然 下， 咱们 Linux 的 iptables 防火 墙 软件 还 可 以 进行 更 细部 深入 的 NAT (Network Address 
Translation) 的 设 定 ， 并 进行 更 弹性 的 IP 封包 伪装 功能 ， 不 过 ， 对 于 单一 主机 的 防火 墙 来 
说 ， 最 简单 的 任务 还 是 上 面 那 三 项 就 是 了 ! 所 以 ， 你 需 不 需要 防火 墙 呢 ? 理论 上 ， 当 然 需 
要 | 而 且 你 必须 要 知道 『 你 的 系统 哪些 数据 与 服务 需要 保护 ]， 针 对 需要 受 保护 的 服务 来 设 
定 防火 墙 的 规则 吧 | 底下 我 们 先 来 谈 一 谈 ， 那 在 Linux 上 头 常 见 的 防火 墙 类 型 有 哪些 ? 


9.1.3 Linux 系统 上 防火 墙 的 主要 类 别 


基本 上 ， 依 据 防火 墙 管理 的 范围 ， 我 们 可 以 将 防火 墙 区 分 为 网 域 型 与 单一 主机 型 的 控 管 。 在 
单一 主机 型 的 控 管 方面 ， 主 要 的 防火 墙 有 封包 过 滤 型 的 Netfilter 与 依据 服务 软件 程序 作为 分 
析 的 TCP Wrappers 两 种 。 若 以 区 域 型 的 防火 墙 而 言 ， 由 于 此 类 防火 墙 都 是 当 作 路 由 器 角 

色 ， 因 此 防火 墙 类 型 主要 则 有 封包 过 滤 的 Netfilter 与 利用 代理 服务 器 (proxy server) 进行 存 取 
代理 的 方式 了 。 


。 Netfilter (封包 过 滤 机 制 ) 


所 谓 的 封包 过 滤 ， 亦 即 是 分 析 进 入 主机 的 网 络 封包 ， 将 封包 的 表 头 数据 提出 来 进行 分 
析 ， 以 决定 该 联机 为 放行 或 抵挡 的 机 制 。 由 于 这 种 方式 可 以 直接 分 析 封 包 表 头 数据 ， 所 
以 包括 硬件 地 址 (MAC), 软件 地 址 (IP), TCP, UDP, ICMP 等 封包 的 信息 都 可 以 进行 过 滤 分 
析 的 功能 ， 因 此 用 途 非常 的 广泛 。( 其 实 主要 分 析 的 是 OSI 七 层 协议 的 2, 3, 4 层 啦 ) 


在 Linux 上 面 我 们 使 用 核心 内 建 的 Netfilter 这 个 机 制 ， 而 Netfilter 提供 了 iptables 这 个 软 
件 来 作为 防火 墙 封包 过 滤 的 指令 。 由 于 Netfilter 是 核心 内 建 的 功能 ， 因 此 他 的 效率 非常 
的 高 | 非常 适合 于 一 般 小 型 环境 的 设 定 呢 ! Netfilter 利用 一 些 封包 过 滤 的 规则 设 定 ， 来 
定义 出 什么 资料 可 以 接收 ， 什 么 数据 需要 别 除 ， 以 达到 保护 主机 的 目的 喔 ! 


。 TCP Wrappers (程序 控 管 ) 


另 一 种 抵挡 封包 进入 的 方法 ， 为 透 过 服务 器 程序 的 外 挂 (tcpd) 来 处 置 的 ! 与 封包 过 滤 不 
同 的 是 ， 这 种 机 制 主要 是 分 析 谁 对 某 程序 进行 存 取 ， 然 后 透 过 规则 去 分 析 该 服务 器 程序 
谁 能 够 联机 、 谁 不 能 联机 。 由 于 主要 是 透 过 分 析 服 务 器 程序 来 控 管 ， 因 此 与 启动 的 埠 口 
无 关 ， 只 0 举例 来 说 ， 我们 知道 FTP 可 以 启动 在 非 正 规 的 port 21 进 

行 监听 ， 当 你 透 过 Linux 内 建 的 TCP wrappers 限制 FTP 时， 那么 你 只 要 知道 FTP 的 
mn ts 不 管 FTP 启动 在 哪个 堆 口 ， 都 会 被 该 规则 管理 
的 。 


e Proxy (代理 服务 器 ) 


其 实 代 理 服务 器 是 一 种 网 络 服务 ， 它 可 以 『 代 理 」 用户 的 需求 ， 而 代为 前 往 服 务 器 取得 
相关 的 资料 。 就 有 点 像 底 下 这 个 图 示 吧 : 





Proxy Server Client 图 9.1-1、Proxy 
Server 的 运作 原理 简介 


以 上 图 为 例 ， 当 Client 端 想 要 前 往 Internet 取得 Google 的 数据 时 ， 他 取得 数据 的 流程 是 这 样 的 : 


1. client 会 向 proxy server 要 求 数据 ， 请 proxy 帮忙 处 理 ; 

2. proxy 可 以 分 析 使 用 者 的 IP 来 源 是 否 合法 ?使 用 者 想 要 去 的 Google 服务 器 是 否 合 法 ? 如 果 这 个 client 饼 
3. Google 所 回 传 的 数据 是 传 给 proxy server 的 喔 ， 所 以 Go0gle 服务 器 上 面 看 到 的 是 proxy server 的 工 
4. ”最 后 proxy 将 Google 回 传 的 数据 送 给 client。 

这 样 了 解 了 吗 ? 没 错 ， client 并 没有 直接 连 上 Internet ， 所 以 在 实 线 部 分 (步骤 1，4) 只 要 Proxy 与 Client 


另外 ， 一 般 proxy 主机 通常 仅 开放 port 89，21，29 等 WWW 与 FTP 的 堆 口 而 已 ， 而 且 通常 Proxy 就 架设 在 路 





9.1.4 防火 墙 的 一 般 网 络 布线 示意 


由 前 面 的 说 明 当 中 ， 你 应 该 可 以 了 解 到 一 件 事 ， 那 就 是 防火 墙 除了 可 以 『 保 护 防火 墙 机 制 本 
身 所 在 的 那 部 主机 4 之 外 ， 还 可 以 『 保 护 防火 墙 后 面 的 主机 4 。 也 就 是 说 ， 防 火 墙 除了 可 以 
防备 本 机 被 入 侵 之 外 ， 他 还 可 以 架设 在 路 由 器 上 面 藉 以 控 管 进出 本 地 端 网 域 的 网 络 封包 。 这 
种 规划 对 于 内 部 私有 网 域 的 安全 也 有 一 定 程 度 的 保护 作用 呢 ! 底下 我 们 稍微 谈 一 谈 目 前 常见 
的 防火 墙 与 网 络 布线 的 配置 吧 : 


。 单一 网 域 ， 仅 有 一 个 路 由 器 : 


防火 墙 除了 可 以 作为 Linux 本 机 的 基本 防护 之 外 ， 他 还 可 以 架设 在 路 由 器 上 面 以 管控 整 
个 局 域 网 络 的 封包 进出 。 因 此 ， 在 这 类 的 防火 墙 上 头 通常 至 少 需 要 有 两 个 接口 ， 将 可 信 
任 的 内 部 与 不 可 信任 的 Internet 分 开 ， 所 以 可 以 分 别 设 定 两 块 网 络 接口 的 防火 墙 规 则 
啦 ! 简单 的 环境 如 同 下 列 图 9.1-2 所 示 。 


党 
定 


在 图 9.1-2 中 ， 由 于 防火 墙 是 设 定 在 所 有 网 络 封包 都 会 经 过 的 路 由 器 上 头 ， 因 此 这 个 防 
火 墙 可 以 很 轻易 的 就 掌控 到 局 域 网 络 内 的 所 有 封包 ， 而 且 你 只 要 管理 这 部 防火 墙 主机 ， 
就 可 以 很 轻易 的 将 来 自 Internet 的 不 良 网 络 封 包 抵挡 掉 响 。 只 要 管理 一 部 主机 就 能 够 造 
福 整 的 LAN 里面 的 PC， 很 划算 的 啦 。 


如 果 你 想 要 将 局 域 网 络 控 管 的 更 严格 的 话 ， 那 你 甚至 可 以 在 这 部 Linux 防火 墙 上 面 架设 
更 严格 的 代理 服务 器 ， 让 客户 端 仅 能 连 上 你 所 开放 的 WWW 服务 器 而 已 ， 而 且 还 可 以 透 
过 代理 服务 器 的 登录 文件 分 析 功 能 ， 明 确 的 查 出 来 那个 使 用 者 在 某 个 时 间 点 曾经 连 上 哪 
些 WWW 服务 器 ， 你 瞧 瞧 1! 厉害 吧 | 如 果 在 这 个 防火 墙 上 面 再 加 装 类 似 MRTG 的 流量 
监控 软件 ， 还 能 针对 整个 网 域 的 流量 进行 监测 。 这 样 配 置 的 优点 是 : 


o 因为 内 外 网 域 已 经 分 开 ， 所 以 安全 维护 在 内 部 可 以 开放 的 权限 较 大 ! 
o 安全 机 制 的 设 定 可 以 针对 Linux 防火 墙 主机 来 维护 即 可 ! 
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ht ed 3 图 9.1- 
2 、 单 一 网 域 ， 仅 有 一 个 路 由 器 的 环境 示意 图 


内 部 网 络 包含 安全 性 更 高 的 子 网 ， 需 内 部 防火 墙 切 开 子 网 : 


一 般 来 说 ， 我 们 的 防火 墙 对 于 LAN 的 防备 都 不 会 设 定 的 很 严格 ， 因 为 是 我 们 自己 的 LAN 
嘛 ! 所 以 是 信任 网 域 之 一 哆 ! 不 过 ， 最 常 听 到 的 入 侵 方 法 也 是 使 用 这 样 的 一 个 信任 汤 
洞 ! 因为 你 不 能 保证 所 有 使 用 企业 内 部 计算 机 的 用 户 都 是 公司 的 员工 ， 也 无 法 保证 你 的 


员工 不 会 『 搞 破坏 ! 」 更 多 时 候 是 由 于 某 些 外 来 访客 利用 移动 式 装 置 (笔记 本 电脑 ) 连接 
到 公司 内 部 的 无 线 网 络 来 加 以 窃取 企业 内 部 的 重要 信息 。 


呵呵 | 所 以 ， 如 果 你 有 特别 重要 的 部 门 需要 更 安全 的 保护 网 络 环境 ， 那 么 将 LAN 里 面 再 
加 设 一 个 防火 墙 ， 将 安全 等 级 分 类 ， 那 么 将 会 让 你 的 重要 数据 获得 更 佳 的 保护 喔 ! 整个 
架构 有 点 像 下 图 所 示 。 
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9.1-3、 内 部 网 络 包 含 需要 更 安全 的 子 网 防火 墙 


在 防火 墙 的 后 面 架 设 网 络 服务 器 主机 


还 有 一 种 更 有 趣 的 设 定 ， 那 就 是 将 提供 网 络 服务 的 服务 器 放 在 防火 墙 后 面 ， 这 有 什么 好 
处 呢 ? 如 下 图 所 示 ，Web, Mail 与 FTP 都 是 透 过 防火 墙 连 到 Internet 上 面 去 ， 所 以 ， 底 
下 这 四 部 主机 在 Internet 上 面 的 Public IP 都 是 一 样 的 ! (这 个 观念 我 们 会 在 本 章 底下 的 
NAT 服务 器 的 时 候 再 次 的 强调 )。 只 是 透 过 防火 墙 的 封包 分 析 后 ， 将 WWW 的 要 求 封 包 
转送 到 Web 主机 ， 将 Mail 送 给 Mail Server 去 处 理 而 已 ( 延 过 port 的 不 同 来 转 递 )。 


好 了 ， 因 为 四 部 主机 在 Internet 上 面 看 到 的 IP 都 相同 ， 但 是 事实 上 却 是 四 部 不 同 的 主 
机 ， 而 当 有 攻击 者 想 要 入 侵 你 的 FTP 主机 好 了 ， 他 使 用 各 种 分 析 方法 去 进攻 的 主机 ， 其 
实 是 『 防 火 墙 」 那 一 部 ， 攻 击 者 想 要 攻击 你 内 部 的 主机 ， 除 非 他 能 够 成 功 的 搞定 你 的 防 
火 墙 ， 否 则 就 很 难 入 侵 你 的 内 部 主机 呢 ! 


而 且 ， 由 于 主机 放置 在 两 部 防火 墙 中 间 ， 内 部 网 络 如 果 发 生 状 况 时 > 某 些 使 用 者 不 良 
操作 导致 中 毒 啊 、 被 社交 工程 攻陷 导致 内 部 主机 被 绑架 啊 等 等 的 ) ， 是 不 会 影响 到 网 络 服 
务 器 的 正常 运作 的 。 这 种 方式 适用 在 比较 大 型 的 企业 当中 ， 因 为 对 这 些 企 业 来 说 ， 网 络 
主机 能 否 提供 正常 稳定 的 服务 是 很 重要 的 |! 


不 过 ， 这 种 架构 下 所 进行 的 设 定 就 得 包含 port 的 转 递 ， 而 且 要 有 很 强 的 网 络 逻 辑 概念 ， 
可 以 厘清 封包 双向 沟通 时 的 流动 方式 。 对 于 新 手 来 说 ， 设 定 上 有 一 定 的 难度 ， 乌 可 个 人 
不 太 建议 新 手 这 么 做 ， 还 是 等 以 后 有 经 验 之 后 再 来 玩 这 种 架构 吧 | 
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通常 像 上 图 的 环境 中 ， 将 网 络 服务 器 独立 放置 在 两 个 防火 墙 中 间 的 网 络 ， 我 们 称 之 为 非 
军事 区 域 (DMZ)。 DMZ 的 目的 就 如 同 前 面 提 到 的 ， 重 点 在 保护 服务 器 本 身 ， 所 以 将 
Internet 与 LAN 都 隔离 开 来 ， 如 此 一 来 不 论 是 服务 器 本 身 ， 或 者 是 LAN 被 攻陷 时 ， 另 一 
个 区 块 还 是 完好 无 缺 的 | 


9.1.5 防火 墙 的 使 用 限制 


从 前 面 的 分 析 中 ， 我 们 已 经 知道 过 封包 滤 式 防火 墙 主要 在 分 析 OSI 七 层 协议 当中 的 2, 3, 4 
层 ， 既 然 如 此 的 话 ，Linux 的 Netfilter 机 制 到 底 可 以 做 些 什么 事情 呢 ? 其 实 可 以 进行 的 分 析 
工作 主要 有 : 


。 拒绝 让 Internet 的 封包 进入 主机 的 某 些 端口 这 个 应 该 不 难 了 解 吧 | 例如 你 的 port 21 这 个 
FTP 相关 的 埠 口 ， 若 只 想 要 开放 给 内 部 网 络 的 话 ， 那 么 当 Internet 来 的 封包 想 要 进入 你 
的 port 21 时 ， 就 可 以 将 该 数据 封包 丢掉 ! 因为 我 们 可 以 分 析 的 到 该 封包 表 头 的 端口 号 码 
呀 1 


e@ 拒绝 让 某 些 来 源 IP 的 封包 进入 例如 你 已 经 发 现 某 个 IP 主要 都 是 来 自 攻 击 行 为 的 主机 ， 
那么 只 要 来 自 该 IP 的 资料 封包 ， 就 将 他 丢弃 1 这 样 也 可 以 达到 基础 的 安全 哟 ! 


。 拒绝 让 带 有 茶 些 特殊 旗 标 (flag) 的 封包 进入 最 常 拒绝 的 就 是 带 有 SYN 的 主动 联机 的 旗 标 
! 只 要 一 经 发 现 ， 嘿 嘿 ! 你 就 可 以 将 该 封包 丢弃 呀 |! 


。 分 析 硬 件 地 址 (MAC) 来 决定 联机 与 否 如 果 你 的 局 域 网 络 里 面 有 比较 捣蛋 的 但 是 又 具有 上 比 
较 高 强 的 网 络 功力 的 高 手 时 ， 如 果 你 使 用 IP 来 抵挡 他 使 用 网 络 的 权限 ， 而 他 却 懂得 反正 
换 一 个 IP 就 好 了 ， 都 在 同一 个 网 域内 嘛 | 同样 还 是 在 搞 破坏 一 怎么 办 ? 没关系 ， 我 们 可 
以 死 锁 他 的 网 络 卡 硬件 地 址 啊 ! 因为 MAC 是 焊 在 网 络 卡 上 面 的 ， 所 以 你 只 要 分 析 到 该 使 
用 者 所 使 用 的 MAC 之 后 ， 可 以 利用 防火 墙 将 该 MAC 锁 住 ， 呵 呵 ! 除非 他 能 够 一 换 再 换 
他 的 网 络 卡 来 取得 新 的 MAC， 否 则 换 IP 是 没有 用 的 啦 ! 


虽然 Netfilter 防火 墙 已 经 可 以 做 到 这 么 多 的 事情 ， 不 过 ， 还 是 有 很 多 事情 没有 办 法 透 过 
Netfilter 来 完成 经 ! 什么 2 设 定 防 火 墙 之 后 还 不 安全 啊 | 那 当 然 啦 上 谁 说 设 定 了 防火 墙 之 后 
你 的 系统 就 一 定安 全 ? 防火 墙 虽然 可 以 防止 不 受 欢迎 的 封包 进入 我 们 的 网 络 当中 ， 不 过 ， 某 
些 情况 下 ， 他 并 不 能 保证 我 们 的 网 络 一 定 就 很 安全 。 举 几 个 例子 来 谈 一 谈 : 


e 防火 墙 并 不 能 很 有 效 的 抵挡 病毒 或 木马 程序 假设 你 已 经 开放 了 WWW 的 服务 ， 那 么 你 的 
WWW 主机 上 面 ， 防 火 墙 一 定 得 要 将 WWW 服务 的 port 开放 给 Client 端 登入 才 行 吧 ! 否 
则 你 的 WWW 主机 设 定 了 等 于 没有 用 对 吧 ! 也 就 是 说 ， 只 要 进入 你 的 主机 的 封包 是 要 求 
WWW 数据 的 ， 就 可 以 通过 你 的 防火 墙 。 那 好 了 ，『 万 一 你 的 WWW 服务 器 软件 有 汤 
洞 ， 或 者 本 身 向 你 要 求 WWW 服务 的 该 封包 就 是 病毒 在 侦 测 你 的 系统 4 时， 你 的 防火 墙 
可 是 一 点 办 法 也 没有 啊 | 因为 本 来 设 定 的 规则 就 是 会 让 他 通过 啊 。 


e 防火 墙 对 于 来 自 内 部 LAN 的 攻击 较 无 承受 力 一 般 来 说 ， 我 们 对 于 LAN 里 面 的 主机 都 没 
有 什么 防火 墙 的 设 定 ， 因 为 是 我 们 自己 的 LAN 啊 ， 所 以 当然 就 设 定 为 信任 网 域 了 ! 不 
过 ，LAN 里 面 总 是 可 能 有 些 网 络 小 白 啊 ， 虽 然 他 们 不 是 故意 要 摘 破 坏 ， 但 是 他 们 就 是 不 
懂 嘛 ! 所 以 就 乱用 网 络 了 。 这 个 时 候 就 很 糟糕 ， 因 为 防火 墙 对 于 内 部 的 规则 设 定 通 常 比 
较 少 ， 所 以 就 容易 造成 内 部 员工 对 于 网 络 误 用 或 滥用 的 情况 。 


所 以 啦 ， 还 是 回 到 第 七 章 的 图 7.1-1 的 说 明 去 看 看 ， 分 析 一 下 该 图 示 ， 你 就 会 知道 ， 在 你 的 
Linux 主机 实地 上 网 之 前 ， 还 是 得 先 : 

e@ 关闭 几 个 不 安全 的 服务 ; 

e 升级 几 个 可 能 有 问题 的 套件 ; 

。 架设 好 最 起 码 的 安全 防护 -防火墙 -- 


其 他 相关 的 讯息 还 是 请 到 第 七 章 认 识 网 络 安 全 里 面 去 看 一 看 怎么 增加 自身 的 安全 吧 ! 


9.2 TCP Wrappers 


在 进入 主题 之 前 ， 我 们 先 来 玩 一 个 简单 的 防火 墙 机 制 ， 那 就 是 TCP Wrappers 这 玩意 儿 。 如 
同 前 面 说 的 ，TCP wrappers 是 透 过 客户 端 想 要 链接 的 程序 文件 名 ， 然 后 分 析 客户 端的 IP ， 
看 看 是 否 需要 放行 。 那 么 哪些 程序 支持 TCP wrappers 的 功能 ? 这 个 TCP wrappers 又 该 如 何 
设 定 ? 我们 这 里 先 简单 的 谈 谈 吧 | (这 个 小 节 仅 是 简单 的 介绍 过 TCP wrappers ， 更 多 相关 功 
能 请 参考 基础 学 习 篇 的 第 十 八 章 内 容 喔 ! ) 


9.2.1 哪些 服务 有 支持 


说 穿 了 ，TCP wrappers 就 是 透 过 /etc/hosts.allow, /etc/hosts.deny 这 两 个 宝贝 蛋 来 管理 的 一 
个 类 似 防 火 墙 的 机 制 ， 但 并 非 所 有 的 软件 都 可 以 透 过 这 两 个 档案 来 控 管 ， 只 有 底下 的 软件 才 
能 够 透 过 这 两 个 档案 来 管理 防火 墙 规则 ， 分 别 是 : 


。 由 super daemon (xinetd) 所 管理 的 服务 ; 
。 有 支援 libwrap.so 模块 的 服务 。 


经 由 xinetd 管理 的 服务 还 好 理解 ， 就 是 配置 文件 在 /etc/xinetd.d/ 里 面 的 服务 就 是 xinetd 所 管 
理 的 啊 ! 那么 什么 是 有 支持 libwrap.so 模块 呢 ? 就 让 我 们 来 进行 底下 的 例题 ， 你 就 比较 容易 
有 明白 哩 : 


例题 : 请 查 出 你 的 系统 有 没有 安装 xinetd ， 若 没有 请 安装 。 安 装 完毕 后 ， 请 查询 xinetd 管理 
的 服务 有 哪些 ? 答 : 


[root@www ~]# yum install xinetd 

Setting up Install Process 

Package 2:xinetd-2.3.14-29.e16.x86_64 already installed and latest version 
Nothing to do 

# 画面 中 显示 ， 已 经 是 最 新 的 xinetd 1! 所 以 ， 已 经 有 安装 哆 1! 

# 接 下 来 找 出 xinetd 所 管理 的 服务 群 ! 


[root@www ~]# chkconfig xinetd on  &]lt;== 要 先 让 xinetd on 后 才能 看 到 底下 的 
[root@www ~]# chkconfig --list 
(0 
xinetd based services: 
chargen-dgram: off 
chargen-stream: off 


人 
rsync: off ”&1t;== 下 一 小 节 的 范例 就 用 这 玩意 儿 来 解释 
tcpmux-server: off 
telnet: on 


上 述 结 果 最 终 输出 的 部 分 就 是 xinetd 所 管理 的 服务 群 史 | 上 述 的 服务 之 防火 墙 简 易 设 定 ， 都 
可 以 透 过 TCP wrappers 来 管理 的 噜 | 


例题 : 请 问 ，rsyslogd, sshd, xinetd, httpd ( 若 该 服务 不 存在 ， 请 自行 安装 软件 )， 这 四 个 程序 
有 没有 支持 tcp wrappers 的 抵挡 功能 ? 答 : 由 于 支持 tcp wrappers 的 服务 必定 包含 libwrap 
这 一 个 动态 函 式 库 ， 因 此 可 以 使 用 ldd 来 观察 该 服务 即 可 。 简单 的 使 用 方式 为 : 


[root@www ~]# ldd $(which rsyslogd sshd xinetd httpd) 
# 这 个 方式 可 以 将 所 有 的 动态 范式 库 取 出 来 查阅 ， 不 过 需要 眼睛 搜寻 。 
# 可 以 透 过 底下 的 方式 来 处 理 更 快 ! 
[root@www ~]# for name in rsyslogd sshd xinetd httpd; do echo $name; \ 
&gt; ldd $(which $name) &#124; grep libwrap; done 
rsyslogd 
sshd 

libwrap.so.0 =&gt; /lib64/libwrap.so.0 (0x00007fb41d3c9000 ) 
xinetd 

libwrap.so.0 =&gt; /lib64/libwrap.so.0 (0x00007f6314821000 ) 
httpd 


上 述 的 结果 中 ， 在 该 档 名 档 下 有 出 现 libwrap 的 ， 代 表 有 找到 该 函 式 库 ， 才 有 支持 tcp 
wrappers。 所 以 ，sshd, xinetd 有 支持 ， 但 是 rsyslogd, httpd 这 he se | 不 支持 。 也 就 是 
说 ，httpd 与 rsyslogd 不 能 够 使 用 /etc/hosts.{allow|ldeny} 来 进 火 墙 机 制 的 控 管 。 


9.2.2 /etc/hosts.{allow|deny} 的 设 定 方式 
那 如 何 透 过 这 两 个 档案 来 抵挡 有 问题 的 IP 来 源 呢 ? 这 两 个 档案 的 语法 都 一 样 ， 很 简单 的 : 


&lt;service(program name)&gt; : &]lt;IP, domain, hostname&gt; 
&lt; 服 务  ( 亦 即 程序 名 称 )&gt; : &lLt;IP 或 领域 或 主机 名 &gt， 
# 上 头 的 &gt; &lt; 是 不 存在 于 配置 文件 中 的 喔 ! 


我 们 知道 防火 墙 的 规则 都 是 有 顺序 的 ， 那 这 两 个 档案 与 规则 的 顺序 优先 是 怎样 呢 ? 基本 上 是 
这 样 的 : 


e。 先 以 /etc/hosts.allow 为 优先 比 对 ， 该 规则 符合 就 子 以 放行 ; 
e。 再 以 /etc/hosts.deny 比 对 ， 规 则 符合 就 子 以 抵挡 ; 
e@ 若 不 在 这 两 个 档案 内 ， 亦 即 规则 都 不 符合 ， 最 终 则 予以 放行 


我 们 拿 rsync 这 个 xinetd 管理 的 服务 来 进行 说 明 好 了 ， 请 参考 底下 的 例题 吧 : 


例题 : 先 开放 本 机 的 127.0.0.1 可 以 进行 任何 本 机 的 服务 ， 然 后 ， 让 区 网 (192.168.1.0/24) 可 
rsync ， 同 时 10.0.0.100 也 能 够 使 用 rsync ， 但 其 他 来 源 则 不 允许 使 用 rsync 喔 。 

: 我 们 得 要 先知 道 rsync 的 服务 启动 的 档 名 为 何 ， 因 为 tcp wrappers 是 透 过 启动 服务 的 档 
0 0 A tg eet, 


[root@www ~]# cat /etc/xinetd.d/rsync 
service rsync 


{ 
disable = yes 
flags = IPV6 
socket_type = stream 
wait = no 
USer = root 
server = /usr/bin/rsync ”&]1t;== 档 名 叫做 rsync 
server_args = --daemon 
log_on_failure += USERID 
} 


因此 程序 字段 的 项 目 要 写 的 是 rsync 喔 ! 因此 ， 我 们 应 该 要 这 样 设 定 的 : 


[root@www ~]# vim /etc/hosts.allow 
ALL: 127.0.0.1 &1t ;== 这 就 是 本 机 全 部 的 服务 都 接受 ! 
rsync: 192.168.1.0/255.255.255.0 10.0.0.100 


[root@www ~]# vim /etc/hosts.deny 
rsync: ALL 


上 面 的 例题 有 几 个 重点 ， 首 先 ，tcp wrappers 理论 上 不 支持 192.168.1.0/24 这 种 透 过 bit 数 
值 来 定义 的 网 域 ， 只 支持 netmask 的 地 址 显示 方式 。 另 外 ， 如 果 有 多 个 网 域 或 者 是 单一 来 
源 ， 可 以 透 过 空格 来 累加 。 如 果 想 要 写成 多 行 呢 ? 也 可 以 啊 ! 多 写 几 行 『 kshd: IP J 的 方式 
也 可 以 ， 不 必要 将 所 有 数据 集中 在 一 行 啦 ! 因为 tcp wrappers 也 是 一 条 一 条 规则 比 对 嘛 ! 


基本 上 ， 你 只 要 理解 这 些 数 据 即 可 ! 因为 绝 大 部 分 的 时 刻 ， 我 们 都 会 建议 使 用 底下 介绍 的 
Netfilter 的 机 制 来 抵挡 封包 。 那 让 我 们 准备 开始 来 玩 玩 iptables 封包 过 滤 防火 墙 吧 | 


9.3 Linux 的 封包 过 滤 软 件 : iptables 


上 面谈 了 这 么 多 ， 主 要 还 是 希望 你 能 了 解 到 防火 墙 是 什么 这 个 议题 ! 而 且 也 希望 你 知道 防火 
墙 并 非 万 能 的 。 好 了 ， 那 么 底下 我 们 终于 可 以 来 瞧 一 瞧 ， 那 目前 我 们 的 2.6 版 这 个 Linux 核 
心 到 底 使 用 什么 核心 功能 来 进行 防火 墙 设 定 ? 


9.3.1 不 同 Linux 核心 版 本 的 防火 墙 软件 


Linux 的 防火 墙 为 什么 功能 这 么 好 ?这 是 因为 他 本 身 就 是 由 Linux 核心 所 提供 ， 由 于 直接 经 过 
核心 来 处 理 ， 因 此 充 和 ! 不 过 ， 不 同 核心 版 本 所 使 用 的 防火 墙 软件 是 不 一 样 的 1 因为 
核心 支持 的 防火 墙 是 逐渐 演进 而 来 的 嘛 ! 


e Version 2.0 : 使 用 ipfwadm 这 个 防火 墙 机 制 ; 

e Version 2.2 : 使 用 的 是 ipchains 这 个 防火 墙 机 制 ; 

。 Version 2.4 与 2.6 :主要 是 使 用 iptables 这 个 防火 墙 机 制 ， 不 过 在 某 些 早期 的 Version 
2.4 版 本 的 distributions 当中 ， 亦 同时 支持 0 (编译 成 为 模块 )， 好 让 用 户 仍 然 可 以 
使 用 来 自 2.2 版 的 ipchains 的 防火 墙 规划 。 ， 不 建议 在 2.4 以 上 的 核心 版 本 使 用 
ipchains 喔 ! 


因为 不 同 的 核心 使 用 的 防火 墙 机 制 不 同 ， 且 支持 的 软件 指令 与 语法 也 不 相同 ， 所 以 在 Linux 
上 头 设 定 属于 你 自己 的 防火 墙 规则 时 ， 要 注意 啊 ， 先 用 uname -r 追踪 一 下 你 的 核心 版 本 再 
说 ! 如 果 你 是 安装 2004 年 以 后 推出 的 distributions ， 那 就 不 需要 担心 了 ， 因 为 这 些 
distributions 几乎 都 使 用 kernel 2.6 版 的 核心 啊 !| ^ 人 和 ^ 


9.3.2 封包 进入 流程 : 规则 顺 厅 序 的 重要 性 | 


前 面 的 几 个 小 节 里 面 我 们 一 直 谈 到 : 『 防 火 墙 规 则 J ， 号 ! 啥 是 规则 啊 ? 因为 iptables 是 利 
用 封包 过 滤 的 机 制 ， 所 以 他 会 分 析 封 包 的 表 头 数据 。 Pe a 『 规 则 4 来 决定 
该 封包 是 否 可 以 进入 主机 或 者 是 被 丢弃 。 意 思 就 是 说 : 『 根 据 封 包 的 分 析 资 料 " 比 对 " 你 预先 
定义 的 规则 内 容 ， 若 封包 数据 与 规则 内 容 相 同 则 进行 动作 ， 否 则 就 继续 下 一 条 规则 的 比 

对 1 J」 重点 在 那个 了 比 对 与 分 析 顺 序 」 上。 


举 个 简单 的 例子 ， 假 设 我 预先 定义 10 条 防火 墙 规 则 好 了 ， 和 那么 当 Internet 来 了 一 个 封包 想 
进入 我 的 主机 ， 那 么 防火 墙 是 如 何 分 析 这 个 封包 的 呢 ? 我们 以 底下 的 图 示 来 说 明 好 了 : 






ACCEPT 


sa 交 件 系统 资源 
坟 


图 9.3-1、 封 包 过 滤 的 规则 动作 及 分 析 





当 一 个 网 络 封 包 要 进入 到 主机 之 前 ， 会 先 经 由 NetFilter 进行 检查 ， 那 就 是 iptables 的 规则 

了 。 检查 通过 则 接受 (ACCEPT) 进入 本 机 取得 资源 ， 如 果 检 查 不 通过 ， 则 可 能 予以 丢弃 
(DROP) ! 上 图 中 主要 的 目的 在 告知 你 : 『 规 则 是 有 顺序 的 」 ! 例如 当 网 络 封包 进入 Rule 1 
的 比 对 时 ， 如 果 比 对 结果 符合 Rule 1 ， 此 时 这 个 网 络 封 包 就 会 进行 Action 1 的 动作 ， 而 不 会 
理会 后 续 的 Rule 2, Rule 3.… 等 规则 的 分 析 了 。 


而 如 果 这 个 封包 并 不 符合 Rule 1 的 比 对 ， ee Rule 2 的 比 对 了 | 如 此 一 个 一 个 规则 去 
进行 比 对 就 是 了 。 那 如 果 所 有 的 规则 都 不 符合 怎 办 ? 此 时 就 会 透 过 预 设 动作 (封包 政策 ， 
Policy) 来 决定 这 个 封包 的 去 向 。 所 以 啦 ， 多 你 的 规则 顺序 排列 错误 时 ， 就 会 产生 很 严重 的 错 
误 了 。 怎么 说 呢 ? 让 我 们 看 看 底下 这 个 例子 : 


假设 你 的 Linux 主机 提供 了 WWW 的 服务 ， 那 么 自 el port 80 来 启用 通过 的 封包 规 
则 ， 但 是 你 发 现 IP 来 源 为 192.168.100.100 老 是 恶意 的 尝试 入 侵 你 的 系统 ， 所 以 你 想 要 将 该 
IP 拒绝 往来 ， 最 后 ， 所 有 的 非 WWW 的 封包 都 给 他 丢弃 ， 就 这 三 个 规则 来 说 ， 你 要 如 何 设 定 
防火 墙 检验 顺序 呢 ? 


1，Rule 1 先 抵挡 192.168.100.100 ; 
2，Rule 2 再 让 要 求 WWW 服务 的 封包 通过 
3，Rule 3 将 所 有 的 封包 丢弃 。 


这 样 的 排列 顺序 就 能 符合 你 的 需求 ， 不 过 ， 万 一 你 的 顺序 排 错 了 ， 变 成 : 


1，Rule 1 先 让 要 求 WWW 服务 的 封包 通过 ; 
2，Rule 2 再 抵挡 192.168.100.100 ; 
3，Rule 3 将 所 有 的 封包 丢弃 。 


此 时 ， 那 个 192.168.100.100 『 可 以 使 用 你 的 WWW 服务 4 吗 ! 只 要 他 对 你 的 主机 送出 
WWW 要 求 封 包 ， 就 可 以 使 用 你 的 WWW 功能 了 ， 因 为 你 的 规则 顺序 定义 第 一 条 就 会 让 他 通 
过 ， 而 不 去 考虑 第 二 条 规则 ! 这 样 可 以 理解 规则 顺序 的 意义 了 吗 ! 现在 再 来 想 一 想 ， 如果 
Rule 1 变 成 了 『 将 所 有 的 封包 丢弃 3，Rule 2 才 设 定 『WWW 服务 封包 通过 」， 请 问 ， 我 的 
client 可 以 使 用 我 的 WWW 服务 吗 ? 呵呵 | 答案 是 『 否 ~ 想 通 了 吗 ? ^ 人 和 ^ 


9.3.3 iptables 的 表格 (table) 与 链 (chain) 


事实 上 ， 那 个 图 9.3-1 所 列 出 的 规则 仅 是 iptables 众多 表格 当中 的 一 个 链 (chain) 而 已 。 什么 
是 链 呢 ? 这 得 由 iptables 的 名 称 说 起 。 为 什么 称 为 ip"tables" 呢 ? 因为 这 个 防火 墙 软件 里 面 
有 多 个 表格 (table) ， 每 个 表格 都 定义 出 自己 的 默认 政策 与 规则 ， 且 每 个 表格 的 用 途 都 不 相 
同 。 我 们 可 以 使 用 底下 这 张 图 来 稍微 了 解 一 下 : 


开始 利用 本 机 的 
-六 件 系统 资源 


Chan: OUTPUT 
Policy 


Chuin: FORWARD 
Policy 
Rule 1 


自行 定义 
Policy 


Rule | 


图 9.3-2、iptables 的 表格 与 相关 链 示 





刚刚 图 9.3-1 的 规则 内 容 仅 只 是 图 9.3-2 内 的 某 个 chain 而 已 ! 而 预 设 的 情况 下 ， 咱 们 Linux 
的 iptables 至 少 就 有 三 个 表格 ， 包 括 管理 本 机 进出 的 filter 、 管 理 后 端 主机 (防火 墙 内 部 的 其 

他 计算 机 ) 的 nat、 管 理 特殊 旗 标 使 用 的 mangle ( 较 少 使 用 ) 。 更 有 甚 者 ， 我 们 还 可 以 自 定义 
额外 的 链 呢 ! 真是 很 神奇 吧 ! 每 个 表格 与 其 中 链 的 用 途 分 别 是 这 样 的 : 


。 filter (过 滤器 ) : 主要 跟 进入 Linux 本 机 的 封包 有 关 ， 这 个 是 预 设 的 table 吗 ! 


o INPUT : 主要 与 想 要 进入 我 们 Linux 本 机 的 封包 有 关 ; 
o OUTPUT : 主要 与 我 们 Linux 本 机 所 要 送出 的 封包 有 关 ; 
o FORWARD : 这 个 吹 吹 与 Linux 本 机 比较 没有 关系 ， 他 可 以 『 转 递 封包 ] 到 后 端的 
计算 机 中 ， 与 下 列 nat table 相关 性 较 高 。 
。 nat (地 址 转换 ) : 是 Network Address Translation 的 缩写 ， 这 个 表格 主要 在 进行 来 源 与 
目的 之 IP 或 port 的 转换 ， 与 Linux 本 机 较 无 关 ， 主 要 与 Linux 主机 后 的 局 域 网 络 内 计算 
机 较 有 相关 。 


o PREROUTING : 在 进行 路 由 判断 之 前 所 要 进行 的 规则 (DNAT/REDIRECT) 
o POSTROUTING : 在 进行 路 由 判断 之 后 所 要 进行 的 规则 (SNAT/MASQUERADE) 
o OUTPUT : 与 发 送出 去 的 封包 有 关 
。 mangle (破坏 者 ) : 这 个 表格 主要 是 与 特殊 的 封包 的 路 由 旗 标 有 关 ， 旱 期 仅 有 
PREROUTING 及 OUTPUT 链 ， 不 过 从 kernel 2.4.18 之 后 加 入 了 INPUT 及 FORWARD 
链 。 由 于 这 个 表格 与 特殊 旗 标 相关 性 较 高 ， 所 以 像 咱们 这 种 单纯 的 环境 当中 ， 较 少 使 用 
mangle 这 个 表格 。 


所 以 说 ， 如 果 你 的 Linux 是 作为 www 服务 ， 那 么 要 开放 客户 端 对 你 的 www 要 求 有 响应 ， 就 
得 要 处 理 filter 的 INPUT 链 ; 而 如 果 你 的 Linux 是 作为 局 域 网 络 的 路 由 器 ， 那 么 就 得 要 分 析 
nat 的 各 个 链 以 及 filter 的 FORWARD 链 才 行 。 也 就 是 说 ， 其 实 各 个 表格 的 链 结 之 间 是 有 关 
系 的 |! 简单 的 关系 可 以 由 下 图 这 么 看 : 


OUTPUT 


OUTPUT 


POSTROUTING 


POSTROUTING 


I 





图 9.3-3、iptables 内 
建 各 表格 与 链 的 相关 性 


上 面 的 图 示 很 复杂 喔 ! 不 过 基本 上 你 依旧 可 以 看 出 来 ， 我 们 的 iptables 可 以 控制 三 种 封包 的 
流向 : 


。 封包 进入 Linux 主机 使 用 资源 (路 径 A) : 在 路 由 判断 后 确定 是 向 Linux 主机 要 求 数据 的 
封包 ， 主 要 就 会 透 过 filter 的 INPUT 链 来 进行 控 管 ; 


。 封包 经 由 Linux 主机 的 转 递 ， 没 有 使 用 主机 资源 ， 而 是 向 后 端 主机 流动 (路 径 B) : 在 路 
由 判断 之 前 进行 封包 表 头 的 修订 作业 后 ， 发 现 到 封包 主要 是 要 透 过 防火 墙 而 去 后 端 ， 此 
时 封包 就 会 透 过 路 径 日 来 跑 动 。 也 就 是 说 ， 该 封包 的 目标 并 非 我 们 的 Linux 本 机 。 主 要 
经 过 的 链 是 filter 的 FORWARD 以 及 nat 的 POSTROUTING, PREROUTING 。 这 路 径 
B 的 封包 流向 使 用 情况 ， 我 们 会 在 本 章 的 9.5 小 节 来 跟 大 家 作 个 简单 的 介绍 。 

。 封包 由 Linux 本 机 发 送出 去 (路 径 C) : 例如 响应 客户 端的 要 求 ， 或 者 是 Linux 本 机 主动 
送出 的 封包 ， 都 是 透 过 路 径 C 来 跑 的 。 先 是 透 过 路 由 判断 ， 决 定 了 输出 的 路 径 后 ， 再 先 

过 filter 的 OUTPUT 链 来 传送 的 ! 当然 ， 最 终 还 是 会 经 过 nat 的 POSTROUTING 链 。 


Tips: 有 没有 发 现 有 两 个 [路 由 判断 」 呢 ? 因为 网 络 是 双向 的 ， 所 以 进 与 出 要 分 开 来 看 ! 
此 ， 进 入 的 封包 需要 路 由 判断 ， 送 出 的 封包 当然 也 要 进行 路 由 判断 才能 够 发 送出 去 啊 !1 了解 
乎 ? 
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图 9.3-4、iptables 内 


建 各 表格 与 链 的 相关 性 ( 简 图 ) 


透 过 图 9.3-4 你 就 可 以 更 轻松 的 了 解 到 ， 事 实 上 与 本 机 最 有 关 的 其 实 是 filter 这 个 表格 内 的 
INPUT 与 OUTPUT 这 两 条 链 ， 如 果 你 的 iptables 只 是 用 来 保护 Linux 主机 本 身 的 话 ， 那 nat 
的 规则 根本 就 不 需要 理 他 ， 直 接 设 定 为 开放 即 可 。 


不 过 ， 如 果 你 的 防火 墙 事 实 上 是 用 来 管制 LAN 内 的 其 他 主机 的 话 ， 那 么 你 就 必须 要 再 针对 
filter 的 FORWARD 这 条 链 ， 还 有 nat 的 PREROUTING, POSTROUTING 以 及 OUTPUT 进 
行 额外 的 规则 订 定 才 行 。nat 表格 的 使 用 需要 很 清晰 的 路 由 概念 才能 够 设 定 的 好 ， 建 议 新 手 
先 不 要 碰 ! 最 多 就 是 先 玩 一 玩 最 阳春 的 nat 功能 『IP 分 享 器 的 功能 〗 就 好 了 1! ^^1 这 部 份 我 
们 在 本 章 的 最 后 一 小 节 会 介绍 的 啦 |! 


9.3.4 本 机 的 iptables 语法 


理论 上 ， 当 你 安装 好 Linux 之 后 ， 系 统 应 该 会 主动 的 帮 你 启动 一 个 阳春 的 防火 墙 规 则 才 是 ， 
不 过 这 个 阳春 防火 墙 可 能 不 是 我 们 想 要 的 模式 ， 因 此 我 们 需要 额外 进行 一 些 修订 的 行为 。 不 
过 ， 在 开始 进行 底下 的 练习 之 前 ， 鸟 哥 这 里 有 个 很 重要 的 事情 要 告知 一 下 。 因 为 iptables 的 
指令 会 将 网 络 封包 进行 过 滤 及 抵挡 的 动作 ， 所 以 ， 请 不 要 在 远程 主机 上 进行 防火 墙 的 练习 ， 
因为 你 很 有 可 能 一 不 小 心 将 自己 关 在 家 门 外 ! 尽量 在 本 机 前 面 登入 tty1-tty6 终端 机 进行 练 
习 ， 和 否则 常常 会 发 生 悲 剧 啊 | 岛 哥 以 前 刚刚 在 玩 iptables 时 ， 就 常常 因为 不 小 心 规则 设 定 错 
误 ， 导 致 常常 要 请 远程 的 朋友 帮忙 重新 启动 … 


刚刚 提 到 咱们 的 iptables 至 少 有 三 个 预 设 的 table (filter, nat, mangle)， 较 常用 的 是 本 机 的 
filter 表格 ， 这 也 是 默认 表格 啦 。 另 一 个 则 是 后 端 主机 的 nat 表格 ， 至 于 mangle 较 少 使 用 ， 
所 以 这 个 章节 我 们 并 不 会 讨论 mangle。 由 于 不 同 的 table 他 们 的 链 不 一 样 ， 导 致使 用 的 指令 
语法 或 多 或 少 都 有 点 差异 。 在 这 个 小 节 当 中 ， 我 们 主要 将 针对 filter 这 个 默认 表格 的 三 条 链 来 
做 介绍 。 底 下 就 来 玩 一 玩 吧 | 


Tips: 防火 墙 的 设 定 主 要 使 用 的 就 是 iptables 这 个 指令 而 已 。 而 防火 墙 是 系统 管理 员 的 主要 任 
务 之 一 ， 且 对 于 系统 的 影响 相当 的 大 ， 因 此 『 只 能 让 root 使 用 iptables 」， 不 论 是 设 定 还 是 
观察 防火 墙 规则 喔 ! 





9.3.4-1 规则 的 观察 与 清除 


如 果 你 在 安装 的 时 候选 择 没有 防火 墙 的 话 ， 那 么 iptables 在 一 开始 的 时 候 应 该 是 没有 规则 
的 ， 不 过 ， 可 能 因为 你 在 安装 的 时 候 就 有 选择 系统 自动 帮 你 建立 防火 墙 机 制 ， 那 系统 就 会 有 
默认 的 防火 墙 规则 了 ! 无 论 如 何 ， 我 们 先 来 看 看 目前 本 机 的 防火 墙 规则 是 如 何 吧 ! 


[root@www ~]# iptables [-t tables] [-L] [-nv] 

选项 与 参数 : 

-tt :后 面 接 table ， 例 如 nat 或 filter ， 若 省 略 此 项 目 ， 则 使 用 默认 的 filter 
-L : 列 出 目前 的 table 的 规则 

-n :不 进行 IP 与 HOSTNAME 的 反 查 ， 显 示 讯 息 的 速度 会 快 很 多 ! 

-V : 列 出 更 多 的 信息 ， 包 括 通过 该 规则 的 封包 总 位 数 、 相 关 的 网 络 接口 等 


范例 : 列 出 filter table 三 条 链 的 规则 
[root@www ~]# iptables -L -n 
Chain INPUT (policy ACCEPT)  &1t;== 针 对 INPUT 链 ， 且 预 设 政策 为 可 接受 


target prot opt source destination &1lLt;== 说 明 栏 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED &1t;== 第 1 条 规则 
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 &1t;== 第 2 条 规则 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 &1lt;== 第 3 条 规则 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 &1t ;== 以 下 类 推 
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 


Chain FORWARD (policy ACCEPT) &1lt;== 针 对 FORWARD 链 ， 且 预 设 政策 为 可 接受 
target prot opt source destination 
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 


Chain OUTPUT (policy ACCEPT) &1t;== 针 对 OUTPUT 链 ， 且 预 设 政策 为 可 接受 
target prot opt source destination 


范例 : 列 出 nat table 三 条 链 的 规则 

[root@www ~]# iptables -t nat -L -n 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


在 上 表 中 2 每 一 个 Chain 就 是 前 面 提 到 的 每 个 链 史 一 Chain 那 一 行 里 面 括 号 的 policy 就 是 预 
设 的 政策 ， 那 底下 的 target, prot 代表 什么 呢 ? 


e。 target : 代表 进行 的 动作 ，ACCEPT 是 放行 ， 而 REJECT 则 是 拒绝 ， 此 外 ， 尚 有 DROP 
(丢弃 ) 的 项 目 ! 

e。 prot : 代表 使 用 的 封包 协议 ， 主 要 有 tcp, udp 及 icmp 三 种 封包 格式 ; 

。 opt : 额外 的 选项 说 明 

e。 Source : 代表 此 规则 是 针对 哪个 上 来 源 IPJ 进行 限制 ? 

。 destination : 代表 此 规则 是 针对 哪个 『 目 标 IPJ 进行 限制 ? 


在 输出 结果 中 ， 第 一 个 范例 因为 没有 加 上 -t 的 选项 ， 所 以 默认 就 是 filter 这 个 表格 内 的 
INPUT OUTPUT FORWARD 三 条 链 的 规则 嚼 。 若 针对 单机 来 说 ，INPUT 与 FORWARD 算 
是 比较 重要 的 管制 防火 墙 链 ， 所 以 你 可 以 发 现 最 后 一 条 规则 的 政策 是 REJECT (拒绝 ) 喔 ! 虽 
然 INPUT 与 FORWARD 的 政策 是 放行 (ACCEPT) ， 不 过 在 最 后 一 条 规则 就 已 经 将 全 部 的 封 
包 都 拒绝 了 | 


不 过 这 个 指令 的 观察 只 是 作 个 格式 化 的 查阅 ， 要 详细 解释 每 个 规则 会 比较 不 容易 解析 。 举 例 
来 说 ， 我 们 将 INPUT 的 5 条 规则 依据 输出 结果 来 说 明 一 下 ， 结 果 会 变 成 : 


1. 只 要 是 封包 状态 为 RELATED,ESTABLISHED 就 子 以 接受 
2.， 只 要 封包 协议 是 icemp 类 型 的 ， 就 予以 放行 


3. 无 论 任何 来 源 (0.0.0.0/0) 且 要 去 任何 目标 的 封包 ， 不 论 任何 封包 格式 (prot 为 al)， 通 通 
都 接受 

4. 只 要 是 传 给 port 22 的 主动 式 联机 tcp 封包 就 接受 

5. 全 部 的 封包 信息 通通 拒绝 


最 有 趣 的 应 该 是 第 3 条 规则 了 ， 怎 么 会 所 有 的 封包 信息 都 子 以 接受 ? 如 果 都 接受 的 话 ， 那 么 
后 续 的 规则 根本 就 不 会 有 用 嘛 ! 其 实 那 条 规则 是 仅 针对 每 部 主机 都 有 的 内 部 循环 测试 网 络 
(lo) 接口 啦 ! 如果 没有 列 出 接口 ， 那 么 我 们 就 很 容易 搞 错 嘿 ~ 所 以 ， 近 来 鸟 哥 都 建议 使 用 
iptables-save 这 个 指令 来 观察 防火 墙 规 则 啦 ! 因为 iptables-save 会 列 出 完整 的 防火 墙 规则 ， 
只 是 并 没有 规格 化 输出 而 已 。 


[root@www ~]# iptables-save [-t table] 
选项 与 参数 : 
-t : 可 以 仅 针对 某 些 表 格 来 输出 ， 例 如 仅 针对 nat 或 filter 等 等 


[root@www ~]# iptables-save 
# Generated by iptables-save vi1.4.7 on Fri Jul 22 15:51:52 2011 


*filter &1t ;== 星 号 开头 的 指 的 是 表格 ， 这 里 为 filter 
:INPUT ACCEPT [0:0] &1lt;== 冒 号 开头 的 指 的 是 链 ， 三 条 内 建 的 链 
:FORWARD ACCEPT [0:0] &1t;== 三 条 内 建 链 的 政策 都 是 ACCEPT 史 ! 


:OUTPUT ACCEPT [680:100461] 

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT &lLt;== 针 对 INPUT 的 规则 
-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT  &lLt;== 这 条 很 重要 ! 针对 本 机 内 部 接口 开放 ! 

-A _ INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 

-A _ INPUT -j REJECT --reject-with icmp-host-prohibited 

-A _ FORWARD -j REJECT --reject-with icmp-host-prohibited &lLt;== 针 对 FORWARD 的 规则 
COMMIT 

# Completed on Fri Jul 22 15:51:52 2011 


由 上 面 的 输出 来 看 ， 有 底线 且 内 容 含 有 lo 的 那 条 规则 当中 ，『 -iloJ 指 的 就 是 由 lo 适 配 卡 进 
来 的 封包 1 这 样 看 就 清楚 多 了 ! 因为 有 写 到 接口 的 关系 啊 ! 不 像 之 前 的 iptables -L-n 史 1 这 
样 了 解 竹 ! 不 过 ， 了 既然 这 个 规则 不 是 我 们 想 要 的 ， 那 该 如 何 修改 规则 呢 ? 鸟 哥 建议 ， 先 删除 
规则 再 慢 慢 建立 各 个 需要 的 规则 ! 那 如 何 清除 规则 ? 这 样 做 就 对 了 : 


[root@www ~]# iptables [-t tables] [-FXZ] 

选项 与 参数 : 

-F :清除 所 有 的 已 订 定 的 规则 ; 

-X : 杀 掉 所 有 使 用 者 " 自 定义 " 的 chain (应 该 说 的 是 tables ) 虽 ; 
-Z :将 所 有 的 chain 的 计数 与 流量 统计 都 归 零 

范例 : 清除 本 机 防火 墙 (filter) 的 所 有 规则 

[root@www ~]# iptables -F 

[root@www ~]# iptables -X 

[root@www ~]# iptables -Zz 


由 于 这 三 个 指令 会 将 本 机 防火 墙 的 所 有 规则 都 清除 ， 但 却 不 会 改变 预 设 政策 (policy) ， 所 以 
如 果 你 不 是 在 本 机 下 达 这 三 行 指令 时 ， 很 可 能 你 会 被 自己 挡 在 家 门 外 ( 若 INPUT 设 定 为 
DROP 时 ) ! 要 小 心 啊 ! 

一 般 来 说 ， 我 们 在 重新 定义 防火 墙 的 时 候 ， 都 会 先 将 规则 给 他 清除 掉 。 还 记得 我 们 前 面谈 到 
的 ， 防 火 墙 的 『 规 则 顺序 ] 是 有 特殊 意义 的 ， 所 以 嘿 ， 当 然 先 清除 掉 规 则 ， 然 后 一 条 一 条 来 
设 定 会 比较 容易 一 点 啦 。 底 下 就 来 谈 谈 定义 预 设 政策 吧 ! 


9.3.4-2 定义 预 设 政策 (policy) 


清除 规则 之 后 ， 再 接 下 来 就 是 要 设 定 规则 的 政策 啦 ! 还 记得 政策 指 的 是 什么 吗 ? 『 当 你 的 封 
包 不 在 你 设 定 的 规则 之 内 时 ， 则 该 封包 的 通过 与 否 ， 是 以 Policy 的 设 定 为 准 」， 在 本 机 方面 
的 预 设 政策 中 ， 假 设 你 对 于 内 部 的 使 用 者 有 信心 的 话 ， 那 么 filter 内 的 INPUT 链 方 面 可 以 定 
义 的 比较 严格 一 点 ， 而 FORWARD 与 OUTPUT 则 可 以 订 定 的 松 一 些 ! 通常 岛 哥 都 是 将 
INPUT 的 policy 定义 为 DROP 啦 ， 其 他 两 个 则 定义 为 ACCEPT 。 至 于 nattable 则 暂时 先 不 
理会 他 。 


[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP] 
选项 与 参数 : 

-P :定义 政策 ( Policy )。 注 意 ， 这 个 P 为 大 写 啊 ! 

ACCEPT : 该 封包 可 接受 

DROP : 该 封包 直接 丢弃 ， 不 会 让 client 端 知道 为 何 被 丢弃 。 


范例 : 将 本 机 的 INPUT 设 定 为 DROP ， 其 他 设 定 为 ACCEPT 

[root@www ~]# iptables -P INPUT DROP 

[root@www ~]# iptables -P OUTPUT ACCEPT 

[root@www ~]# iptables -P FORWARD ACCEPT 

[root@www ~]# iptables-save 

# Generated by iptables-save vi1.4.7 on Fri Jul 22 15:56:34 2011 
*filter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

COMMIT 

# Completed on Fri Jul 22 15:56:34 2011 

# 由 于 INPUT 设 定 为 DROP 而 又 尚未 有 任何 规则 ， 所 以 上 面 的 输出 结果 显示 : 
# 所 有 的 封包 都 无 法 进入 你 的 主机 ! 是 不 通 的 防火 墙 设 定 ! (网 络 联机 是 双向 的 ) 


看 到 输出 的 结果 了 吧 ? |INPUT 被 修改 了 设 定 喔 |! 其 他 的 nat table 三 条 链 的 预 设 政策 设 定 也 是 
一 样 的 方式 ， 例 如 : 『 iptables -tnat -P PREROUTING ACCEPT J 就 设 定 了 nattable 的 

PREROUTING 链 为 可 接受 的 意思 ! 预 设 政策 设 定 完毕 后 ， 来 谈 一 谈 关于 各 规则 的 封包 基础 
比 对 设 定 吧 。 


9.3.4-3 封包 的 基础 比 对 : IP 网 域 及 接口 装置 


开始 来 进行 防火 墙 规则 的 封包 比 对 设 定 吧 ! 既然 是 因特网 ， 那 么 我 们 就 由 最 基础 的 |P, 网 域 及 
埠 口 ， 亦 即 是 OSI 的 第 三 层 谈 起 ， 再 来 谈 谈 装 置 (网 络 卡 ) 的 限制 等 等 。 这 一 小 节 与 下 一 小 节 
的 语法 你 一 定 要 记 住 ， 因 为 这 是 最 基础 的 比 对 语法 喔 ! 


[root@www ~]# iptables [-AI 链 名 ] [-io 网 络 接口 ] [-p 协议 ] \\ 
&gt; [-s 来 源 IP/ 网 域 ] [-d 目标 IP/ 网 域 ] -j [ACCEPT&#124;DROP&#124;REJECT&#124;L0G] 
选项 与 参数 : 
-AI 链 名 : 针对 某 的 链 进行 规则 的 "插入 " 或 "累加 " 
-A : 新 增加 一 条 规则 ， 该 规则 增加 在 原本 规则 的 最 后 面 。 例 如 原本 已 经 有 四 条 规则 ， 
使 用 -A 就 可 以 加 上 第 五 条 规则 ! 
-I :插入 一 条 规则 。 如 果 没 有 指定 此 规则 的 顺序 ， 默 认 是 插入 变 成 第 一 条 规则 。 
例如 原本 有 四 条 规则 ， 使 用 - 工 则 该 规则 变 成 第 一 条 ， 而 原本 四 条 变 成 2~5 号 
链 :有 INPUT，OUTPUT，FORWARD 等 ， 此 链 名 称 又 与 -10 有 关 ， 请 看 底下 。 
-io 网 络 接口 : 设 定 封包 进出 的 接口 规范 
- : 封包 所 进入 的 那个 网 络 接口 ， 例 如 ethg，1o 等 接口 。 需 与 INPUT 链 配 合 ; 
-0 :封包 所 传 出 的 那个 网 络 接口 ， 需 与 OUTPUT 链 配合 ; 


-p 协定 : 设 定 此 规则 适用 于 哪 种 封包 格式 
主要 的 封包 格式 有 : tcp, udp，icmp 及 all 。 
-S 来 源 IP/ 网 域 : 设 定 此 规则 之 封包 的 来 源 项 目 ， 可 指定 单纯 的 IP 或 包括 网 域 ， 例 如 
IP : 192.168.0.100 
网 域 : 192.168.0.0/24，192.168.0.0/255.255.255.0 均 可 。 
若 规范 为 『 不 许 上 时 ， 则 加 上 ! 即 可 ， 例 如 
-S ! 192.168.100.0/24 表示 不 许 192.168.100.0/24 之 封包 来 源 ; 


-d 目标 IP/ 网 域 : 同 -s ， 只 不 过 这 里 指 的 是 目标 的 IP 或 网 域 。 


-j :后 面 接 动作 ， 主 要 的 动作 有 接受 (ACCEPT)、 丢 弃 (DROP)、 拒 绝 (REJECT) 及 记录 (L0G) 


iptables 的 基本 参数 就 如 同上 面 所 示 的 ， 仅 只 谈 到 IP 、 网 域 与 装置 等 等 的 信息 ， 至 于 TCP, 
UDP 封包 特有 的 堆 口 (port number) 与 状态 (如 SYN 旗 标 ) 则 在 下 小 节 才 会 谈 到 。 好 ， 先 让 
我 们 来 看 看 最 基础 的 几 个 规则 ， 例 如 开放 Ilo 这 个 本 机 的 接口 以 及 某 个 IP 来 源 吧 ! 


范例 : 设 定 10 成 为 受信 任 的 装置 ， 亦 即 进 出 10 的 封包 都 予以 接受 
[root@www ~]# iptables -A INPUT -i lo -j ACCEPT 


仔细 看 上 面 并 没有 列 出 -s, -d 等 等 的 规则 ， 这 表示 : 不 论 封包 来 自 何 处 或 去 到 哪里 ， 只 要 是 来 
自 lo 这 个 界面 ， 就 予以 接受 |! 这 个 观念 挺 重要 的 ， 就 是 了 没有 指定 的 项 目 ， 则 表示 该 项 目 完 
全 接受 ] 的 意思 ! 例如 这 个 案例 当中 ， 关 于 -s, -d... 等 等 的 参数 没有 规定 时 ， 就 代表 不 论 什么 
值 都 会 被 接受 史 。 


这 就 是 所 谓 的 信任 装置 啦 ! 假如 你 的 主机 有 两 张 以 太 网络 卡 ， 其 中 一 张 是 对 内 部 的 网 域 ， 假 
设 该 网 卡 的 代号 为 eth1 好 了 ， 如 果 内 部 网 域 是 可 信任 的 ， 那 么 该 网 卡 的 进出 封包 就 通通 会 被 
接受 ， ee : Tiptables -AINPUT -ieth1 -j ACCEPTJ 来 将 该 装置 设 定 为 信任 装 

置 。 不 过 ， 下 达 这 个 指令 前 要 特别 注意 ， 因 为 这 样 等 于 该 网 卡 没 有 任何 防备 了 吗 ! 


范例 : 只 要 是 来 自 内 网 的 (192.168.100.0/24) 的 封包 通通 接受 
[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j ACCEPT 
# 由 于 是 内 网 就 接受 ， 因 此 也 可 以 称 之 为 『 信 任 网 域 ] 史 。 


范例 : 只 要 是 来 自 192.168.100.10 就 接受 ， 但 192.168.100.,23Q 这 个 恶意 来 源 就 丢弃 
[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT 
[root@www ~]# iptables -A INPUT -i eth1 -s L927 168.100.230 -] DROP 

# 针对 单一 IP 来 源 ， 可 视 为 信任 主机 或 者 是 不 信任 的 恶意 来 源 喔 ! 


[root@www ~]# iptables-save 

# Generated by iptables-save vi1.4.7 on Fri Jul 22 16:00:43 2011 
eter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [17:1724] 

-A INPUT -i Jo -j ACCEPT 

-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.100.230/32 -i eth1 -j DROP 
COMMIT 

# Completed on Fri Jul 22 16:00:43 2011 


这 就 是 最 单纯 简单 的 防火 墙 规则 的 设 定 与 观察 方式 。 不 过 ， 在 上 面 的 案例 中 ， 其 实 你 也 发 现 

到 有 两 条 规则 可 能 有 问题 ~ 那 就 是 上 面 的 特殊 字体 圈 起 来 的 规则 顺序 。 明 明 已 经 放行 了 

192.168.100.0/24 了 ， 所 以 那个 192.168.100.230 的 规则 就 不 可 能 会 被 用 到 ! 这 就 是 有 问题 

设 定 啊 1 了 解 乎 ? 那 该 怎 办 ? 就 重 打 啊 1@ @! 那 如 果 你 想 要 记录 某 个 规则 的 纪录 
么 办 ?可 以 这 样 做 : 


[root@www ~]# iptables -A INPUT -s 192.168.2.200 -j LOG 
[root@www ~]# iptables -L -n 

target prot opt source destination 

LOG all -- 192.168.2.200 0.0.0.0/0 LOG flags 0 level 4 


ee 告 果 的 最 左边 ， 会 出 现 的 是 LOG 喔 ! 只 要 有 封包 来 自 192.168.2.200 这 个 IP 时 ， 
么 该 封包 的 相 就 会 被 写 入 到 核心 讯息 ， 亦 即 是 /varlog/messages 这 个 档案 当中 。 
ee 包 会 继续 进行 后 续 的 规则 比 对 。 所 以 说 ，LOG 这 个 动作 仅 在 进行 记录 而 已 ， 并 不 会 
影响 到 这 个 封包 0 比 对 的 。 好 了 ， 接 下 来 我 们 分 别 来 看 看 TCP,UDP 以 及 ICMP 封 
包 的 其 他 规则 比 对 吧 ! 


9.3.4-4 TCP, UDP 的 规则 比 对 : 针对 埠 口 设 定 


我 们 在 第 二 章 网 络 基础 谈 过 各 种 不 同 的 封包 格式 ， 在 谈 到 TCP 与 UDP 时 ， 比 较 特殊 的 就 是 
那个 埠 口 (port)， 在 TCP 方面 则 另外 有 所 谓 的 联机 封包 状态 ， 包 括 最 常见 的 SYN 主动 联机 
的 封包 格式 。 那 么 如 何 针 对 这 两 种 封包 格式 进行 防火 墙 规则 的 设 定 呢 ? 你 可 以 这 样 看 : 


[root@www ~]# iptables [-AI 链 ] [-io 网 络 接口 ] [-p tcp,udp] \ 

&gt; [-s 来 源 IP/ 网 域 ] [--sport 者 口 范围 ] \ 

&gt; [-d 目标 IP/ 网 域 ] [--dport 埠 口 范围 ] -j [ACCEPT&#124;DROP&#124;REJECT] 
选项 与 参数 : 

--Sport 堆 口 范围 : 限制 来 源 的 端口 号 码 ， 端 口号 码 可 以 是 连续 的 ， 例 如 1024:65535 
--dport 起 口 范围 : 限制 目标 的 端口 号 码 。 


事实 上 就 是 多 了 那个 --sport 及 --dport 这 两 个 玩意 儿 ， 重 点 在 那个 port 上 面 啦 ! 不 过 你 得 要 
特别 注意 ， 因 为 公有 tcp 与 udp 封包 具有 堆 口 ， 因 此 你 想 要 使 用 --dport, --sport 时 ， 得 要 加 
上 -ptcp 或 -pudp 的 参数 才 会 成 功 喔 上 底下 让 我 们 来 进行 几 个 小 测试 : 


范例 : 想 要 联机 进入 本 机 port 21 的 封包 都 抵挡 掉 : 
[root@www ~]# iptables -A INPUT -i etho -p tcp --dport 21 -j DROP 


范例 : 想 连 到 我 这 部 主机 的 网 芳 (upd port 137,138 tcp port 139,445) 就 放行 
[root@www ~]# iptables -A INPUT -i etho -p udp --dport 137:138 -j ACCEPT 


[root@www ~]# iptables -A INPUT -i etho -p tcp --dport 139 -j ACCEPT 
[root@www ~]# iptables -A INPUT -i etho -p tcp --dport 445 -j ACCEPT 


瞧 ! 你 可 以 利用 UDP 与 TCP 协议 所 拥有 的 端口 号 码 来 进行 菜 些 服务 的 开放 或 关闭 喔 ! 你 还 
可 以 综合 处 理 呢 | 例如 : 只 要 来 自 192.168.1.0/24 的 1024:65535 境 口 的 封包 ， 且 想 要 联机 
到 本 机 的 ssh port 就 子 以 抵挡 ， 可 以 这 样 做 : 


[root@www ~]# iptables -A INPUT -i etho -p tcp -s 192.168.1.0/24 \ 
&gt; --sport 1024:65534 --dport ssh -j DROP 


如 果 忘 记 加 上 -p tcp 就 使 用 了 --dport 时 ， 会 发 生 哈 问题 呢 ? 


[root@www ~]# iptables -A INPUT -i etho9 --dport 21 -j DROP 
iptables vi1.4.7: unknown option ~--dport' 
Try ‘iptables -h' or "iptables --help' for more information. 


你 应 该 会 觉得 很 奇怪 ， 怎么 『 --dport 4 会 是 未 知 的 参数 (arg) 呢 ? 这 是 因为 你 没有 加 上 -p 
tcp 或 -p udp 的 缘故 啊 ! 很 重要 喔 ! 


除了 埠 口 之 外 ， 在 TCP 还 有 特殊 的 旗 标 啊 ! 最 常见 的 就 是 那个 主动 联机 的 SYN 旗 标 了 。 我 
们 在 iptables 里 面 还 支持 『 --syn 4 的 处 理 方式 ， 我 们 以 底下 的 例子 来 说 明 好 了 : 


范例 : 将 来 自任 何 地 方 来 源 port 1:1023 的 主动 联机 到 本 机 端的 1:1023 联机 丢弃 
[root@www ~]# iptables -A INPUT -i etho -p tcp --sport 1:1023 \ 
&gt; --dport 1:1023 --syn -j DROP 


一 般 来 说 ，client 端 启 用 的 port 都 是 大 于 1024 以 上 的 堆 口 ， 而 server 端 则 是 启用 小 于 1023 
以 下 的 堆 口 在 监听 的 。 所 以 我 们 可 以 让 来 自 远程 的 小 于 1023 以 下 的 端口 数据 的 主动 联机 都 给 
他 丢弃 ! 但 不 适用 在 FTP 的 主动 联机 中 ! 这 部 份 我 们 未 来 在 二 十 一 章 的 FTP 服务 器 再 来 谈 
吧 | 


9.3.4-5 iptables 外 挂 模块 : mac 与 state 


在 kernel 2.2 以 前 使 用 ipchains 管理 防火 墙 时 ， 通 常会 让 系统 管理 员 相 当头 痛 ! 因为 
ipchains 没有 所 谓 的 封包 状态 模块 ， 因 此 我 们 必须 要 针对 封包 的 进 、 出 方向 进行 管控 。 举 例 
来 说 ， 如 果 你 想 要 联机 到 远程 主机 的 port 22 时 ， 你 必须 要 针对 两 条 规则 来 设 定 : 


。 本 机 端的 1024:65535 到 远程 的 port 22 必须 要 放行 (OUTPUT 链 ) ; 
e。 远程 主机 port 22 到 本 机 的 1024:65535 必须 放行 (INPUT 链 ) ; 


这 会 很 麻烦 ! 因为 如 果 你 要 联机 到 10 部 主机 的 port 22 时 ， 假 设 OUTPUT 为 预 设 开局 
(ACCEPT) ， 你 依 昌 需要 填写 十 行规 则 ， 让 那 十 部 远程 主机 的 port 22 可 以 联机 到 你 的 本 地 端 
主机 上 。 那 如 果 开 局 全 部 的 port 22 呢 ? 又 担心 某 些 恶意 主机 会 主动 以 port 22 联机 到 你 的 机 
器 上 ! 同样 的 道理 ， 如 果 你 要 让 本 地 端 主机 可 以 连 到 外 部 的 port 80 (WWW 服务 )， 那 就 更 不 
得 了 ~- 这 就 是 网 络 联机 是 双向 的 一 个 很 重要 的 概念 ! 


好 在 我 们 的 iptables 免除 了 这 个 困扰 ! 他 可 以 透 过 一 个 状态 模块 来 分 析 『 这 个 想 要 进入 的 封 
包 是 否 为 刚刚 我 发 出 去 的 响应 ?4 如 果 是 刚刚 我 发 出 去 的 响应 ， 那 么 就 可 以 了 予以 接受 放行 ! 
哇 | 监 棒 ! 这 样 就 不 用 管 远程 主机 是 否 联机 进来 的 问题 了 ! 那 如 何 达 到 呢 ? 看 看 底下 的 语 
法 : 


[root@www ~]# iptables -A INPUT [-m state] [--state 状态 ] 
选项 与 参数 : 
-m :一 些 iptables 的 外 挂 模块 ， 主 要 常见 的 有 : 

state : 状态 模块 

mac : 网 络 卡 硬件 地 址 (hardware address) 
--State :一 些 封包 的 状态 ， 主 要 有 : 

INVALID : 无 效 的 封包 ， 例 如 数据 破损 的 封包 状态 

ESTABLISHED : 已 经 联机 成 功 的 联机 状态 ; 

NEW : 想 要 新 建立 联机 的 封包 状态 ; 

RELATED : 这 个 最 常用 ! 表示 这 个 封包 是 与 我 们 主机 发 送出 去 的 封包 有 关 
范例 : 只 要 已 建立 或 相关 封包 就 予以 通过 ， 只 要 是 不 合法 封包 就 丢弃 
[root@www ~]# iptables -A INPUT -m state \ 


&gt; --state RELATED,ESTABLISHED -j ACCEPT 
[root@www ~]# iptables -A INPUT -m state --state INVALID -j DROP 


如 此 一 来 ， 我 们 的 iptables 就 会 主动 分 析出 该 封包 是 否 为 响应 状态 ， 若 是 的 话 ， 
接受 。 呵 呵 ! 这 样 一 来 你 就 不 需要 针对 响应 的 封包 来 撰写 个 别 的 防火 墙 规则 了 ! 这 昌 是 太 棒 
了 ! 底下 我 们 继续 谈 一 下 iptables 的 另 一 个 外 挂 ， 那 就 是 针对 网 卡 来 进行 放行 与 防御 : 


范例 : 针对 局 域 网 络 内 的 aa:bb:cc:dd:ee:ff 主机 开放 其 联机 

[root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff \ 
&gt; -j ACCEPT 

选项 与 参数 : 

--mac-source : 就 是 来 源 主机 的 MAC 啦 1! 


ee 的 区 网 当中 有 某 些 网 络 高 手 ， 老 是 可 以 透 过 修改 IP 去 尝试 透 过 路 由 器 往外 跑 ， 那 你 该 

么 办 ? 难道 将 整个 区 网 拒绝 ? 并 不 需要 的 ， 你 可 以 透 过 之 前 谈 到 的 ARP 相关 概念 ， 去 捉 到 

四 主机 MAC ， 然 后 透 过 上 头 的 这 个 机 制 ， 将 该 主机 整个 DROP 掉 即 可 。 不 管 他 改 了 什 
么 IP ， 除 非 他 知道 你 是 用 网 卡 的 MAC 来 管理 ， 否 则 他 就 是 出 不 去 啦 ! 了 解 乎 ? 


Tips: 其 实 MAC 也 是 可 以 伪装 的 ， 可 以 透 过 某 些 软件 来 修改 网 卡 的 MAC。 不 过 ， 这 里 我 们 是 
假设 MAC 是 无 法 修改 的 情况 来 说 明 的 。 此 外 ，MAC 是 不 能 跨 路 由 的 ， 因 此 上 述 的 案例 中 才 
特别 说 明 是 在 区 网 内 ， 而 不 是 指 Internet 外 部 的 来 源 哨 ! 





9.3.4-6 ICMP 封包 规则 的 比 对 : 针对 是 否 响应 ping 来 设计 


在 第 二 章 ICMP 协议 当中 我 们 知道 ICMP 的 类 型 相当 的 多 ， 而 且 很 多 ICMP 封包 的 类 型 都 是 
为 了 要 用 来 进行 网 络 检测 用 的 ! 所 以 最 好 不 要 将 所 有 的 ICMP 封包 都 丢弃 ! 如 果 不 是 做 为 路 
由 器 的 主机 时 ， 通 常 我 们 会 把 ICMP type 8 (echo request) 拿 掉 而 已 ， 让 远程 主机 不 知道 我 们 
是 否 存在 ， 也 不 会 接受 ping 的 响应 就 是 了 。ICMP 封包 格式 的 处 理 是 这 样 的 : 


[root@www ~]# iptables -A INPUT [-p icmp] [--icmp-type 类 型 ] -j ACCEPT 
选项 与 参数 : 
--icmp-type :后 面 必须 要 接 ICMP 的 封包 类 型 ， 也 可 以 使 用 代号 ， 
例如 8 代表 echo request 的 意思 。 

范例 : 让 0,3,4,11,12,14,16,18 的 ICMP type 可 以 进入 本 机 : 
[root@www ~]# vi somefile 
#!/bin/bash 
icmp_type="© 3 4 11 12 14 16 18" 
for typeicmp in $icmp_type 
do 

iptables -A INPUT -i etho -p icmp --icmp-type $typeicmp -j ACCEPT 
done 


[root@www ~]# sh somefile 


这 样 就 能 够 开放 部 分 的 ICMP 封包 格式 进入 本 机 进行 网 络 检测 的 工作 了 ! 不过， 如 果 你 的 主 
机 是 作为 区 网 的 路 由 器 ， 那 么 建议 icmp 封包 还 是 要 通通 放行 才 好 | 这 是 因为 客户 端 检测 网 
络 时 ， 常 常会 使 用 ping 来 测试 到 路 由 器 的 线路 是 否 畅通 之 故 哆 ! 所 以 不 要 将 路 由 器 的 icmp 
关 掉 ， 会 有 状况 啦 ! 


9.3.4-7 超 阳春 客户 端 防火 墙 设计 与 防火 墙 规 则 储存 


经 过 上 述 的 本 机 iptables 语法 分 析 后 ， 接 下 来 我 们 来 想 想 ， 如 果 站 在 客户 端 且 不 提供 网 络 服 
务 的 Linux 本 机 角色 时 ， 你 应 该 要 如 何 设 计 你 的 防火 墙 呢 ? 老实 说 ， 你 只 要 分 析 过 CentOS 
默认 的 防火 墙 规 则 就 会 知道 了 ， 理 论 上 ， 应 该 要 有 的 规则 如 下 : 


规则 归 零 : 清除 所 有 已 经 存在 的 规则 (iptables -F...) 

预 设 政策 : 除了 INPUT 这 个 自 定 义 链 设 为 DROP 外 ， 其 他 为 预 设 ACCEPT ; 

信任 本 机 : 由 于 lo 对 本 机 来 说 是 相当 重要 的 ， 因 此 lo 必须 设 定 为 信任 装置 ; 

回应 封包 : 让 本 机 主动 向 外 要 求 而 响应 的 封包 可 以 进入 本 机 (ESTABLISHED,RELATED) 
信任 用 户 : 这 是 非 必 要 的 ， 如 果 你 想 要 让 区 网 的 来 源 可 用 你 的 主机 资源 时 


oD 


这 就 是 最 最 阳春 的 防火 墙 ， 你 可 以 透 过 第 二 步骤 抵挡 所 有 远程 的 来 源 封包 ， 而 透 过 第 四 步 又 
让 你 要 求 的 远程 主机 响应 封包 可 以 进入 ， 加 上 让 本 机 的 lo 这 个 内 部 循环 装置 可 以 放行 ， 嘿 
嘿 ! 一 部 client 专用 的 防火 墙 规 则 就 OK 了 ! 你 可 以 在 茶 个 script 上 面 这 样 做 即 可 : 


[root@www ~]# vim bin/firewall.sh 
#!/bin/bash 
PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH 


# 1\， 清 除 规则 

iptables -F 

iptables -Xx 

iptables -Zz 

# 2\， 设 定 政 策 

iptables -P INPUT DROP 
iptables -P OUTPUT ACCEPT 
iptables -P FORWARD ACCEPT 


# 3~5\， 制订 各 项 规则 

iptables -A INPUT -i lo -j ACCEPT 

iptables -A INPUT -i ethg -m state --state RELATED,ESTABLISHED -j ACCEPT 
#iptables -A INPUT -i ethg -s 192.168.1.0/24 -j ACCEPT 


# 6\， 写 入 防火 墙 规 则 配置 文件 
/etc/init.d/iptables save 


[root@www ~]# sh bin/firewall.sh 
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 


其 实 防火 墙 也 是 一 个 服务 ， 你 可 以 透 过 『chkconfig --list iptablesJ 去 察看 就 知道 了 。 因此 ， 

你 这 次 修改 的 各 种 设 定 想 要 在 下 次 开机 还 保存 ， 那 就 得 要 进行 『 /etc/init.d/iptables save 」 这 
个 指令 加 参数 。 因 此 ， 乌 哥 现在 都 是 将 储存 的 动作 写 入 这 个 firewall.sh 脚本 中 ， 比 较 单纯 些 
嚼 ! 现在 ， 你 的 Linux 主机 已 经 有 相当 的 保护 了 ， 只 是 如 果 想 要 作为 服务 器 ， 或 者 是 作为 路 
由 器 ， 那 就 得 要 自行 如 上 某 些 自 定 义 的 规则 哆 。 


Tips: 老实 说 ， 如 果 你 对 Linux 够 熟悉 的 话 ， 直 接 去 修改 /etc/sysconfig/iptables 然后 六 
iptables 这 个 服务 restart ， 那 你 的 防火 墙 规则 就 是 会 在 开机 后 持续 存在 吧 | 不 过 ， 鸟 哥 个 人 
还 是 喜欢 写 Scripts 就 是 了 。 


oy 


吕 





制订 好 规则 后 当然 就 是 要 测试 嘿 ! 那么 如 何 测试 呢 ? 


1， 先 由 主机 向 外 面 主动 联机 试看 看 ; 
2. 再 由 私有 网 域内 的 PC 向 外 面 主动 联机 试看 看 ; 
3. 最 后 ， 由 Internet 上 面 的 主机 ， 主 动 联 机 到 你 的 Linux 主机 试看 看 ; 


一 步 一 步 作 下 来 ， 看 看 问题 出 在 哪里 ， 然 后 多 多 的 去 改进 、 改 良 ! 基本 上 ， 网 络 上 目前 很 多 
的 资料 可 以 提供 你 不 错 的 参考 了 ! 这 一 篇 的 设 定 写 的 是 很 简单 ， 大 部 分 都 还 在 介绍 阶段 而 
已 ! 希望 对 大 家 有 帮助 ! 乌 哥 在 参考 数据 ( 注 2) 当 中 列 出 几 个 有 用 的 防火 墙 网 页 ， 希望 大 家 有 


空 真 的 要 多 多 的 去 看 看 ! 会 很 有 帮助 的 ! 


9.3.5 IPv4 的 核心 管理 功能 : /procl/sys/netjipv4 记 


除了 iptables 这 个 防火 墙 软 件 之 外 ， 其 实 咱们 Linux kernel 2.6 提供 很 多 核心 预 设 的 攻击 抵挡 
机 制 喔 ! 由 于 是 核心 的 网 络 功能 ， 所 以 相关 的 设 定数 据 都 是 放置 在 /proc/sys/net/ipv4/ 这 个 目 
录 当 中 。 至 于 该 目录 下 各 个 档案 的 详细 资料 ， 可 以 参考 核心 的 说 明文 件 (你 得 要 先 安装 
kernel-doc 软件 ) : 


e。 /usr/share/doc/kernel-doc-2.6.32/Documentation/networking/ip-sysctl.txt 

鸟 哥 这 里 也 放 一 份 备份 : 
e http:/linux.vbird.org/linux_server/0250simple firewall/ip-sysctl.txt 

有 兴趣 的 话 应 该 要 自行 去 查 一 查 比较 好 的 喔 ! 我 们 底下 就 拿 几 个 简单 的 档案 来 作 说 明 吧 ! 
e /proc/sys/net/ipv4/tcp_syncookies 


我 们 在 前 一 章 谈 到 所 谓 的 阻 断 式 服务 (DoS) 攻击 法 当中 的 一 种 方式 ， 就 是 利用 TCP 封包 
的 SYN 三 向 交 握 原理 所 达成 的 ， 这 种 方式 称 为 SYN Flooding 。 那 如 何 预防 这 种 方式 的 
攻击 呢 ? 我 们 可 以 启用 核心 的 SYN Cookie 模块 啊 ! 这 个 SYN Cookie 模块 可 以 在 系统 
用 来 启动 随机 联机 的 堆 口 (1024:65535) 即将 用 完 时 自动 启动 。 


当 启 动 SYN Cookie 时 ， 主 机 在 发 送 SYN/ACK 确认 封包 前 ， 会 要 求 Client 端 在 短 时 间 
内 回复 一 个 序号 ， 这 个 序号 包含 许多 原本 SYN 封包 内 的 信息 ， 包 括 IP、port 等 。 若 
Client 端 可 以 回复 正确 的 序号 ， 那 么 主机 就 确定 该 封包 为 可 信 的 ， 因 此 会 发 送 SYN/ACK 
封包 ， 否 则 就 不 理会 此 一 封包 


透 过 此 一 机 制 可 以 大 大 的 降低 无 效 的 SYN 等 ， 而 避免 SYN Flooding 的 DoS 攻击 
说 1 那么 如 何 启 动 这 个 模块 呢 ? 很 简单 ， 这 样 做 即 可 : 


[root@www ~]# echo "1" &gt; /proc/sys/net/ipv4/tcp_syncookies 


但 是 这 个 设 定 值 由 于 违反 TCP 的 三 向 交 握 (因为 主机 在 发 送 SYN/ACK 之 前 需要 先 等 待 
A SB eT one Se HD wir pte tsa 
不 过 总 的 来 说 ， 设 定 值 还 是 不 错 用 的 ! 只 是 不 适合 用 在 负载 已 经 很 高 的 服务 器 内 
喔 | 因为 负 ee SYN Flooding 的 攻击 呢 。 


如 果 是 为 了 系统 的 TCP 封包 联机 优化 ， 则 可 以 参考 tcp_max_syn_backlog, 
tcp_synack_retries, tcp_abort_on_overflow 这 几 个 设 定 值 的 意义 。 


e /proc/sys/net/ipv4/icmp_echo _ ignore_ broadcasts 


阻 断 式 服务 常见 的 是 SYN Flooding ， 不 过 ， 我 们 知道 系统 其 实 可 以 接受 使 用 ping 的 响 
应 ， 而 ping 的 封包 数据 量 是 可 以 给 很 大 的 ! 想象 一 个 状况 ， 如 果 有 个 搞 破坏 的 人 使 用 
1000 台 主 机 传送 ping 给 你 的 主机 ， 而 且 每 个 ping 都 高 达 数 百 K bytes 时 ， 你 的 网 络 带 
宽 会 怎样 ? 要 嘛 就 是 带宽 被 吃 光 ， 要 嘛 可 能 系统 会 当 机 ! 这 种 方式 分 别 被 称 为 ping 
flooding (不 断 发 ping) 及 ping of death (发 送 大 的 ping 封包 )。 


那 如 何 避 免 呢 ? 取消 ICMP 类 型 8 的 ICMP 封包 回应 就 是 了 。 我 们 可 以 透 过 防火 墙 来 抵 

挡 ， 这 也 是 比较 建议 的 方式 。 当 然 也 可 以 让 核心 自动 取消 ping 的 响应 。 不 过 你 必须 要 了 
解 ， 某 些 局 域 网 络 内 常见 的 服务 (例如 动态 IP 分 配 DHCP 协议 ) 会 使 用 ping 的 方式 来 侦 
测 是 否 有 重复 的 IP ， 所 以 你 最 好 不 要 取消 所 有 的 ping 响应 比较 好 。 


核心 取消 ping 回应 的 设 定 值 有 两 个 ， 分 别 是 : /proc/sys/net/ipv4 内 的 
icmp_echo_ignore_broadcasts ( 仅 有 ping broadcast 地 址 时 才 取 消 ping 的 回应 ) 及 
icmp_echo_ignore_all (全 部 的 ping 都 不 回应 )。 鸟 哥 建议 设 定 
icmp_echo_ignore_broadcasts 就 好 了 。 你 可 以 这 么 做 : 


[root@www ~]# echo "1" &gt; AN 
&gt; /proc/sys/net/ipv4/icmp_echo_ignore _ broadcasts 


e /proc/sys/net/ipv4/conf/ 网 络 接口 /* 


咱们 的 核心 还 可 以 针对 不 同 的 网 络 接口 进行 不 一 样 的 参数 设 定 喔 ! 网 络 接 口 的 相关 设 定 

放置 在 /proc/sys/net/ipv4/conf/ 当中 ， 每 个 接口 都 以 接口 代号 做 为 其 代表 ， 例 如 eth0 接 
口 的 相关 设 定数 据 在 /proc/sys/net/ipv4/conf/eth0/ 内 。 那 么 网 络 接口 的 设 定 数据 有 哪些 

比较 需要 注意 的 呢 ? 大概 有 底下 这 几 个 : 


o rp_filter : 称 为 逆向 路 径 过 滤 (Reverse Path Filtering) ， 可 以 藉 由 分 析 网 络 接口 的 路 
由 信息 配合 封包 的 来 源 地 址 ， 来 分 析 该 封包 是 否 为 合理 。 举 例 来 说 ， 你 有 两 张 网 
卡 ，eth0 为 192.168.1.10/24 ，eth1 为 public IP。 那 么 当 有 一 个 封包 自称 来 自 eth1 
， 但 是 其 IP 来 源 为 192.168.1.200 ， 那 这 个 封包 就 不 合理 ， 应 予以 丢弃 。 这 个 设 定 
值 建议 可 以 启动 的 。 


o log_martians : 这 个 设 定数 据 可 以 用 来 启动 记录 不 合法 的 IP 来源， 举例 来 说 ， 包 括 
来 源 为 0.0.0.0、127.x.x.x、 及 ClassE 的 IP 来源 ， 因 为 这 些 来 源 的 IP 不 应 该 应 用 
于 Internet 啊 。 记 录 的 数据 默认 放置 到 核心 放置 的 登录 档 /varlog/messages。 


o accept source _ route : 或 许 某 些 路 由 器 会 启动 这 个 设 定 值 ， 不 过 目前 的 设备 很 少 使 
用 到 这 种 来 源 路 由 ， 你 可 以 取消 这 个 设 定 值 。 


o accept_redirects : 当 你 在 同一 个 实体 网 域内 架设 一 部 路 由 器 ， 但 这 个 实体 网 域 有 两 
个 IP 网 域 ， 例 如 192.168.0.0/24, 192.168.1.0/24。 此 时 你 的 192.168.0.100 想 要 向 
192.168.1.100 传送 讯息 时 ， 路 由 器 可 能 会 传送 一 个 ICMP redirect 封包 告知 
192.168.0.100 直接 传送 数据 给 192.168.1.100 即 可 ， 而 不 需 透 过 路 由 器 。 因 为 
192.168.0.100 与 192.168.1.100 确 实 是 在 同一 个 实体 线路 上 (两 者 可 以 直接 互通 )， 


所 以 路 由 器 会 告知 来 源 IP 使 用 最 短路 径 去 传递 数据 。 但 那 两 部 主机 在 不 同 的 IP 
段 ， 却 是 无 法 实际 传递 讯息 的 ! 这 个 设 定 也 可 能 会 产生 一 些 轻 微 的 安全 风险 ， 所 以 
建议 关闭 他 。 


o send_redirects : 与 上 一 个 类 似 ， 只 是 此 值 为 发 送 一 个 ICMP redirect 封包 。 同样 建 
议 关闭 。( 事 实 上 ， 鸟 哥 就 曾经 为 了 这 个 ICMP redirect 的 问题 伤 脑筋 ! 其 实 关闭 
redirect 的 这 两 个 项 目 即 可 啊 1 ) 虽然 你 可 以 使 用 『 echo "1" > 
/proc/sys/net/ipv4/conf/??3/rp_filter 4 之 类 的 方法 来 启动 这 个 项 目 ， 不 过 ， 乌 哥 比 
较 建议 修改 系统 设 定 值 ， 那 就 是 /etc/sysctl.conf 这 个 档案 ! 假设 我 们 仅 有 eth0 这 个 
以 太 接 口 ， 而 有 全 上 述 的 功能 要 通通 启动 ， 那 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/sysct1,conf 

# Adding by VBird 2011/01/28 
net.ipv4.tcp_syncookies = 1 
net.ipv4.icmp_echo_ignore_broadcasts = 1 
net.ipv4.conf.all.rp_filter = 1 
net.ipv4.conf.default.rp_filter = 1 
net.Ipv4.conf ,etho.rp_filter = 1 
net.ipv4.conf.lo.rp_filter = 1 
le 


[root@www ~]# sysctl] -p 


9.4 单机 防火 墙 的 一 个 实例 


介绍 了 这 么 多 的 防火 墙 语法 与 相关 的 注意 事项 后 ， 终 于 要 来 架设 防火 墙 了 。 乌 可 还 是 比较 偏 
好 使 用 脚本 来 撰写 防火 墙 ， 然 后 透 过 最 终 的 /etc/init.d/iptables save 来 将 结果 储存 到 
/etc/sysconfig/iptables 去 ! 而 且 此 一 特色 还 可 以 用 在 呼叫 其 他 的 scripts ， 可 以 让 防火 墙 规则 
具有 较为 灵活 的 使 用 方式 。 好 了 ， 那 就 来 谈 谈 如 何 设 定 咱们 的 防火 墙 规则 吧 ! 


9.4.1 规则 草拟 


鸟 哥 底下 介绍 的 这 个 防火 墙 ， 其 实 可 以 用 来 作为 路 由 器 上 的 防火 墙 ， 也 可 以 用 来 作为 本 机 的 
防火 墙 。 假 设 硬件 联机 如 同 下 图 所 示 ，Linux 主机 本 身 也 是 内 部 LAN 的 路 由 器 ! 亦 即 是 一 个 
简单 的 IP 分 享 器 的 功能 啦 ! 依据 第 三 章 的 图 3.2-1 假设 鸟 哥 网 络 接 口 有 底下 这 些 : 


。 外 部 网 络 使 用 eth0 (如 果 是 拨 接 ， 有 可 能 是 ppp0， 请 针对 你 的 环境 来 设 定 ); 
。 内 部 网 络 使 用 eth1 ， 且 内 部 使 用 192.168.100.0/24 这 个 Class ; 
。 主机 默认 开放 的 服务 有 WWW, SSH, https 等 等 ; 
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图 9.4-1、 一 


人 a a a a a a a a ss 


个 局 域 网 络 的 路 由 器 架构 示意 图 


由 于 希望 将 信任 网 域 (LAN) 与 不 信任 网 域 (Internet) 整个 分 开 的 完整 一 点 ， 所 以 希望 你 可 以 
在 Linux 上 面 安装 两 块 以 上 的 实体 网 卡 ， 将 两 块 网 卡 接 在 不 同 的 网 域 ， 这 样 可 以 避免 很 多 问 
题 。 至 于 最 重要 的 防火 墙 政策 是 : 『 关 闭 所 有 的 联机 ， 仅 开放 特定 的 服务 4 模式。 而且 假设 
内 部 使 用 者 已 经 受过 良好 的 训练 ， 因 此 在 filter table 的 三 条 链 个 预 设 政策 是 : 


e。 INPUT 为 DROP 
。 OUTPUT 及 FORWARD 为 ACCEPT 


鸟 哥 底下 预计 提供 的 防火 墙 流程 是 这 样 的 : 













上 先 设 定 许 条 环境 参数 ， 
包括 网 络 接 口 、LAN 等 


核心 网 络 功能 的 设 定 


/procisysinelipv d+ 











定义 基础 预 设 政策 与 开放 
lo 接口 的 登 信 及 本 机 相关 
的 封包 可 进入 


符合 

| Crem ) 

J 下 符合 符合 
下 符合 


其 他 抵挡 模块 
Ex> 砍 站 软件 jptables.http 


下 符合 
允许 某 些 特殊 的 IJCMP 封 包 
下 符合 


分 许 本 机 所 开放 的 许多 服务 


下 符合 
不 通过 本 机 检验 的 直接 去 弃 


原则 上 ， 内 部 LAN 主机 与 主机 本 身 的 开放 度 很 高 ， 因 为 Output 与 Forward 是 完全 开放 不 理 
的 ! 对 于 小 家 庭 的 主机 是 可 以 接受 的 ， 因 为 我 们 内 部 的 计算 机 数量 不 多 ， 而 且 人 员 都 是 就 悉 
的 ， 所 以 不 需要 特别 加 以 控 管 ! 但 是 : 『 在 大 企业 的 内 部 ， 这 样 的 规划 是 很 不 合格 的 ， 因为 
你 不 能 保证 内 部 所 有 的 人 都 可 以 按照 你 的 规定 来 使 用 Network ! 」 也 就 是 说 『 家 贼 难 防 4 

呀 ! 因此 ， 那 样 的 环境 连 Output 与 Forward 都 需要 特别 加 以 管理 才 行 ! 
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图 9.4-2、 本 机 的 防火 
墙 规则 流程 示意 图 


9.4.2 实际 设 定 


事实 上 ， 我 们 在 设 定 防火 墙 的 时 候 ， 不 太 可 能 会 一 个 一 个 指令 的 输入 ， 通 常 是 利用 shell 
scripts 来 帮 我 们 达成 这 样 的 功能 呐 ! 底下 是 利用 上 面 的 流程 图 所 规划 出 来 的 防火 墙 脚本 ， 你 
可 以 参考 看 看 ， 但 是 你 需要 将 环境 修改 成 适合 你 自己 的 环境 才 行 喔 ! 此 外 ， 为 了 未 来 修改 维 
护 的 方便 ， 鸟 哥 将 整个 Script 拆 成 三 部 分 ， 分 别 是 : 


鸟 哥 个 人 习惯 是 将 这 个 脚本 放置 到 /usr/local/virus/iptables 目录 下 ， 你 也 可 以 自行 放置 


iptables.rule : 设 定 最 基本 的 规则 ， 包 括 清除 防火 墙 规则 、 加 载 模块 、 设 定 服务 可 接受 


和 大生 


等 ; 
iptables.deny : 设 定 抵挡 茶 些 恶 意 主 机 的 进入 ; 
iptables.allow : 设 定 允 许 某 些 自 定 义 的 后 门 来 源 主机 ! 


习惯 的 位 置 去 。 那 底下 就 来 瞧 瞧 这 支 脚 本 是 怎么 写 的 吧 1 


[root@www ~]# mkdir -p /usr/local/virus/iptables 
[root@www ~]# cd /usr/local/virus/iptables 
[root@www iptables]# vim iptables.rule 
#!/bin/bash 


# 1T 


请 先 输入 您 的 相关 参数 ， 不 要 输入 错误 了 |! 
EXTIF="ethO" # 这 个 是 可 以 连 上 Public IP 的 网 络 接口 
INIF="eth1" LAN 的 连接 接口 ; 若 无 则 写成 INIF="" 
INNET="192.168.100.0/24" # 若 无 内 部 网 域 接口 ， 请 填写 成 INNET="" 


export EXTIF INIF INNET 


第 一 部 份 ， 针 对 本 机 的 防火 墙 设 定 | ######## 检 检 # 夫 六 术 帮 样 帮 检 检 检 检 村 术 样 帮 # 闪 检 桩 检 间 并 并 闪闪 奉 检 检 夫 闪闪 
1\， 先 设 定好 核心 的 网 络 功能 
echo "1" &gt; /proc/sys/net/ipv4/tcp_syncookies 
echo "1" &gt; /proc/sys/net/ipv4/icmp_echo_ignore_ broadcasts 
for i In /proc/sys/net/ipv4/conf/*/{rp_filter,]1log martians}; do 
echo "1" &gt; $i 
done 
for i in /proc/sys/net/ipv4/conf/*/{accept_source route,accept_redirects,\ 


send_redirects}; do 


亲 亲 闪闪 亲 霜 


echo "0" &gt; $i 
done 


2\， 清 除 规则 、 设 定 默认 政策 及 开放 10 与 相关 的 设 定 值 
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH 
iptables -F 

iptables -xX 

iptables -Zz 

iptables -P INPUT DROP 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD ACCEPT 

iptables -A INPUT -i Jo -j ACCEPT 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 


3\， 启动 额外 的 防火 墙 Script 模块 

if [ -f /usr/local/virus/iptables/iptables.deny ]; then 
sh /usr/local/virus/iptables/iptables.deny 

fi 

if [ -f /usr/local/virus/iptables/iptables.allow ]; then 
sh /usr/local/virus/iptables/iptables.allow 

fi 

if [ -f /usr/local/virus/httpd-err/iptables.http ]; then 
sh /usr/local/virus/httpd-err/iptables.http 

fi 


4\， 人 允许 某 些 类 型 的 ICMP 封包 进入 
AICMP="0 3 3/4 4 11 12 14 16 18" 
for tyicmp in $AICMP 
do 
iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT 
done 


5\ ， 人 允许 某 些 服 务 的 进入 ， 请 依照 你 自己 的 环境 开启 
iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT # 


FTP 


iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j ACCEPT # SSH 
iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT # SMTP 


iptables -A INPUT -p UDP -i $EXTIF --dport S53 --sport 1024:65534 -] ACCEPT # 
iptables -A INPUT -p TCP -i $EXTIF --dport S53 --sport 1024:65534 -] ACCEPT # 


DNS 
DNS 


到 自己 


iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT # WwWW 
iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j ACCEPT # POP3 
iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j ACCEPT # HTTPS 


亲 亲 尊 


# 第 二 部 份 ， 针 对 后 端 主机 的 防火 墙 设 定 | ############ 坟 槛 术 术 检 检 检 检 检 检 奉 样 奉 样 帮 样 帮 样 帮 并 闪闪 
# 1\， 先 加 载 一 些 有 用 的 模块 

modules="ip_tables iptable nat ip_nat_ftp ip_nat_irc ip_conntrack 
ip_conntrack_ftp ip_conntrack_irc" 

for mod in $modules 





do 
testmod= lsmod &#124; grep "^${mod} " &#124; awk '{print $1} 
If [ "$testmod" == "" ]; then 
modprobe $mod 
fi 
done 


# 2\， 清 除 NAT table 的 规则 吧 ! 
iptables -F -t nat 
iptables -X -t nat 
iptables -2Z -t nat 
iptables -t nat -P PREROUTING ACCEPT 
iptables -t nat -P POSTROUTING ACCEPT 
iptables -t nat -P OUTPUT ACCEPT 


# 3\， 若 有 内 部 接口 的 存在 ( 双 网 卡 ) 开放 成 为 路 由 器 ， 且 为 IP 分 享 器 ! 
if [ "$INIF" != "" ]; then 
iptables -A INPUT -i $INIF -j ACCEPT 
echo "1" &gt; /proc/sys/net/ipv4/ip_forward 
if [ "$INNET" != "" ]; then 
for innet in $INNET 
do 
iptables -t nat -A POSTROUTING -s $innet -0 $EXTIF -j MASQUERADE 
done 
fi 
fi 
# 如 果 你 的 MSN 一 直 无 法 联机 ， 或 者 是 某 些 网 站 OK 茶 些 网 站 不 OK， 
# 可 能 是 MTU 的 问题 ， 那 你 可 以 将 底下 这 一 行 给 他 取消 批注 来 启动 MTU 限制 范围 
# iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss \\ 


# --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu 
# 4\，NAT 服务 器 后 端的 LAN 内 对 外 之 服务 器 设 定 
# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 \ 
## -] DNAT --to-destination 192.168.1.210:80 # WwW 
# 5\， 特殊 的 功能 ， 包 括 Windows 远程 桌面 所 产生 的 规则 ， 假 设 桌 面 主机 为 1.2.3.4 
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 6000 \ 
## -] DNAT --to-destination 192.168.100.10 
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --sport 3389 \ 
## -] DNAT --to-destination 192.168.100 .20 
# 6\， 最 终 将 这 些 功能 储存 下 来 吧 ! 


/etc/init.d/iptables save 


特别 留意 上 面 程序 代码 的 特殊 字体 部 分 ， 基 本 上 ， 你 只 要 修改 一 下 最 上 方 的 接口 部 分 ， 应 该 
就 能 够 运作 这 个 防火 墙 了 。 不 过 因为 每 个 人 的 环境 都 不 相同 ， 因 此 你 在 设 定 完成 后 ， 依 昌 需 
要 测试 一 下 才 行 喔 ! 不 然 ， 出 了 问题 不 要 怪我 啊 | .... 再 来 看 一 下 关于 iptables.allow 的 内 容 
是 如 何 ? 假如 我 要 让 一 个 140.116.44.0/24 这 个 网 域 的 所 有 主机 来 源 可 以 进入 我 的 主机 的 话 ， 
那么 这 个 档案 的 内 容 可 以 写成 这 样 : 


[root@www iptables]# vim iptables.allow 
#!1/bin/bash 
# 底下 则 填写 你 允许 进入 本 机 的 其 他 网 域 或 主机 啊 ! 
iptables -A INPUT -i $EXTIF -s 140.116.44.0/24 -j ACCEPT 
# 底下 则 是 关于 抵挡 的 档案 设 定 法 ! 
[root@www iptables]# vim iptables.deny 
#!/bin/bash 
# 底下 填写 的 是 『 你 要 抵挡 的 那个 吹 吹 11 
iptables -A INPUT -i $EXTIF -s 140.116.44.254 -j DROP 


[root@www iptables]# chmod 700 iptables.* 


将 这 三 个 档案 的 权限 设 定 为 700 且 只 属于 root 的 权限 后 ， 就 能 够 直接 执行 iptables.rule 鹃 ! 
不 过 要 注意 的 是 ， 在 上 面 的 案例 当中 ， 鸟 哥 预 设 将 所 有 的 服务 的 通道 都 是 关闭 的 1! 所 以 你 必 
须要 到 本 机 防火 墙 的 第 5 步骤 处 将 一 些 批注 符 号 ( 极 解 开 才 行 。 同样 的 ， 如 果 有 其 他 更 多 的 
port 想 要 开局 时 ， 一 样 需要 增加 额外 的 规则 才 行 喔 ! 


不 过 ， 还 是 如 同 前 面 我 们 所 说 的 ， 这 个 firewall 仅 能 提供 基本 的 安全 防护 ， 其 他 的 相关 问题 还 
需要 再 测试 测试 呢 ! 此 外 ， 如 果 你 希望 一 开机 就 自动 执行 这 个 Script 的 话 ， 请 将 这 个 档案 的 
完整 档 名 写 入 /etc/rc.d/rc.local 当中 ， 有 点 像 底 下 这 样 : 


[root@www ~]# vim /etc/rc.d/rc.local 
se 

# 1\. Firewall 
/usr/local/virus/iptables/iptables.rule 


事实 上 ， 这 个 脚本 的 最 底下 已 经 加 入 写 入 防火 墙 默认 规则 文件 的 功能 ， 所 以 你 只 要 执行 一 
次 ， 就 拥有 最 正确 的 规则 了 ! 上 述 的 rc.local 仅 是 预防 万 一 而 已 。^ 人 1! 上述 三 个 档案 请 你 不 
要 在 Windows 系统 上 面 编辑 后 才 传 送 到 Linux 上 运作 ， 因 为 Windows 系统 的 断 行 字 符 问 
题 ， 将 可 能 导致 该 档案 无 法 执行 。 建 议 你 直接 到 底下 去 下 载 ， 传 送 到 Linux 后 可 以 利用 
dos2unix 指令 去 转换 断 行 字符 ! 就 不 会 有 问题 ! 


e http://linux.vbird.org/download/index.php?action=detail&fileid=43 


这 就 是 一 个 最 简单 、 阳 春 的 防火 墙 。 同 时 ， 这 个 防火 墙 还 可 以 具有 最 阳春 的 IP 分 享 器 的 功能 
呢 ! 也 就 是 在 iptables.rule 这 个 档案 当中 的 第 二 部 分 了 。 这 部 分 我 们 在 下 一 节 会 再 继续 介绍 


的 。 


9.5 NAT 服务 器 的 设 定 


呼 呼 1 终于 来 到 这 个 地 方 了 | 我 们 准备 要 架设 一 个 路 由 器 的 延伸 服务 器 ， 就 称 之 为 NAT 服务 
器 。NAT 是 什么 呢 ? 简单 的 说 ， 你 可 以 称 他 为 内 部 LAN 主机 的 『 |P 分 享 器 J 啦 ! 


NAT 的 全 名 是 Network Address Translation， 字 面 上 的 意思 是 『 网 络 地 址 的 转换 〗。 由 字面 

上 的 意思 我 们 来 想 一 想 ，TCPIIP 的 网 络 封 包 不 是 有 IP 地 址 吗 ? 那 IP 地 址 不 是 有 来 源 与 目的 
吗 ? 我 们 的 iptables 指令 就 能 够 修改 IP 封包 的 表 头 数据 ， 嘿 嘿 上 连 目 标 或 来 源 的 IP 地 址 都 

可 以 修改 呢 ! 甚至 连 TCP 封包 表 头 的 port number 也 能 修改 ! 盖 是 有 趣 ! 


NAT 服务 器 的 功能 可 以 达到 类 似 图 9.1-2 所 介绍 的 类 似 IP 分 享 的 功能 之 外 ， 还 可 以 达到 类 似 
图 9.1-4 所 介绍 的 DMZ ( 非 军 事 区 ) 的 功能 ! 这 完全 取决 于 我 们 的 NAT 是 修改 : (1) 来 源 IP 还 
是 (2) 目标 IP ! 底下 我 们 就 来 聊 一 聊 吧 | 人 人 ^ 


9.5.1 什么 有 症 NAT? SNAT? DNAT? 


在 谈 到 NAT 的 实际 运作 之 前 ， 让 我 们 再 来 看 一 下 比较 简单 的 封包 透 过 iptables 而 传送 到 后 端 
主机 的 表格 与 链 流程 (请 往 前 参考 图 9.3-4)。 当 网 络 布线 如 图 9.1-2 的 架构 ， 若 内 部 LAN 有 任 
何 一 部 主机 想 要 传送 封包 出 去 时 ， 那 么 这 个 封包 要 如 何 透 过 Linux 主机 而 传送 出 去 ? 他 是 这 
样 的 : 


先 经 过 NAT table 的 PREROUTING 链 ; 

经 由 路 由 判断 确定 这 个 封包 是 要 进入 本 机 与 否 ， 若 不 进入 本 机 ， 则 下 一 步 ; 
再 经 过 Filter table 的 FORWARD 链 ; 

通过 NAT table 的 POSTROUTING 链 ， 最 后 传送 出 去 。 


OD 


NAT 服务 器 的 重点 就 在 于 上 面 流程 的 第 1,4 步骤 ， 也 就 是 NAT table 的 两 条 重要 的 链 : 
PREROUTING 与 POSTROUTING。 那 这 两 条 链 有 什么 重要 的 功能 呢 ? 重点 在 于 修改 IP 

嘛 ! 但 是 这 两 条 链 修改 的 IP 是 不 一 样 的 ! POSTROUTING 在 修改 来 源 IP ，PREROUTING 
则 在 修改 目标 IP 。 由 于 修改 的 IP 不 一 样 ， 所 以 就 称 为 来 源 NAT (Source NAT SNAT) 及 目 
标 NAT (Destination NAT, DNAT)。 我 们 先 来 谈 一 谈 IP 分 享 器 功能 的 SNAT 吧 |! 


。 来 源 NAT SNAT : 修改 封包 表 头 的 『 来 源 」 项 目 


你 应 该 有 听 说 过 IP 分 享 器 这 个 玩意 儿 ， 他 可 以 让 你 家 庭 里 的 好 几 部 主机 同时 透 过 一 条 
ADSL 网 络 联 机 到 Internet 上 面 ， 例 如 图 9.1-2 联 机 的 方式 来 说 ， 那 个 Linux 主机 就 是 |P 
分 享 器 啦 1 那么 他 是 如 何 达 到 IP 分 享 的 功能 ?就 是 透 过 NAT 表格 的 POSTROUTING 来 
处 理 的 。 假 设 你 的 网 络 布线 如 图 9.1-2 所 示 ， 那 么 NAT 服务 器 是 如 何 处 理 这 个 封包 的 

呢 ? 






NS 192.168.1.2 Public IP | 
ee : 


图 9.5-1、 
SNAT 封包 传送 出 去 的 示意 图 


如 上 图 所 示 ， 在 客户 端 192.168.1.100 这 部 主机 要 联机 到 http://tw.yahoo.com 去 时 ， 他 
的 封包 表 头 会 如 何 变化 ? 


1.， 客户 端 所 发 出 的 封包 表 头 中 ， 来 源 会 是 192.168.1.100 ， 然 后 传送 到 NAT 这 部 主 
机 ; 

2，NAT 这 部 主机 的 内 部 接口 (192.168.1.2) 接收 到 这 个 封包 后 ， 会 主动 分 析 表 头 数据 ， 
因为 表 头 数据 显示 目的 并 非 Linux 本 机 ， 所 以 开始 经 过 路 由 ， 将 此 封包 转 到 可 以 连 
接 到 Internet 的 PublicIP 处 ; 

3， 由 于 private IP 与 public IP 不 能 互通 ， 所 以 Linux 主机 透 过 iptables 的 NAT table 
内 的 Postrouting 链 将 封包 表 头 的 来 源 伪 装 成 为 Linux 的 Public IP ， 并 且 将 两 个 不 
同 来 源 (192.168.1.100 及 public IP) 的 封包 对 应 写 入 暂 存 内 存 当 中 ， 然 后 将 此 封包 
传送 出 去 了 ; 此 时 Internet 上 面 看 到 这 个 封包 时 ， 都 只 会 知道 这 个 封包 来 自 那 个 
Public IP 而 不 知道 其 实 是 来 自 内 部 啦 。 好 了 ， 那 么 如 果 Internet 回 传 封包 呢 ? 又 会 
怎么 作 ? 






192,168.1.100 


图 9.5-2、 
SNAT 封包 接收 的 示意 图 


1. 在 Internet 上 面 的 主机 接 到 这 个 封包 时 ， 会 将 响应 数据 传送 给 那个 Public IP 的 主 
机 ; 

2. 当 Linux NAT 服务 器 收 到 来 自 Internet 的 回应 封包 后 ， 会 分 析 该 封包 的 序号 ， 并 比 
对 刚刚 记录 到 内 存 当 中 的 数据 ， 由 于 发 现 该 封包 为 后 端 主机 之 前 传送 出 去 的 ， 因 此 
在 NAT Prerouting 链 中 ， 会 将 目标 IP 修改 成 为 后 端 主 机 ， 亦 即 那 部 
192.168.1.100， 然 后 发 现 目 标 已 经 不 是 本 机 (public IP) ， 所 以 开始 透 过 路 由 分 析 封 
包 流 向 ; 

3.， 封包 会 传送 到 192.168.1.2 这 个 内 部 接口 ， 然 后 再 传送 到 最 终 目 标 192.168.1.100 机 
器 上 去 ! 经 过 这 个 流程 ， 你 就 可 以 发 现 到 ， 所 有 内 部 LAN 的 主机 都 可 以 透 过 这 部 
NAT 服务 器 联机 出 去 ， 而 大 家 在 Internet 上 面 看 到 的 都 是 同一 个 IP (就 是 NAT 那 部 
主机 的 publicIP 啦 1!1)， 所 以 ， 如 果 内 部 LAN 主机 没有 连 上 不 明 网 站 的 话 ， 那 么 内 
部 主机 其 实 是 具有 一 定 程度 的 安全 性 的 啦 ! 因为 Internet 上 的 其 他 主机 没有 办 法 主 
动 攻 击 你 的 LAN 内 的 PC 嘛 ! 所 以 我 们 才 会 说 ，NAT 最 简单 的 功能 就 是 类 似 IP 分 
享 器 啦 ! 那 也 是 SNAT 的 一 种 。 

Tips: NAT 服务 器 与 路 由 器 有 哈 不 同 ? 基本 上 ，NAT 服务 器 一 定 是 路 由 器 ， 不 过 ，NAT 
服务 器 由 于 会 修改 IP 表 头 数据 ， 因 此 与 单纯 转 递 封包 的 路 由 器 不 同 。 最 常见 的 IP 分 享 
器 就 是 一 个 路 由 器 ， 但 是 这 个 IP 分 享 器 一 定 会 有 一 个 Public IP 与 一 个 Private IP， 让 
LAN 内 的 Private IP 可 以 透 过 IP 分 享 器 的 Public IP 传送 出 去 喔 ! 至 于 路 由 器 通常 两 边 
都 是 Public IP 或 同时 为 Private IP 。 


有 


器 蝶 





。 目标 NAT, DNAT : 修改 封包 表 头 的 『 目 标 」 项 目 
SNAT 主要 是 应 付 内 部 LAN 连接 到 Internet 的 使 用 方式 ， 至 于 DNAT 则 主要 用 在 内 部 主 
机 想 要 架设 可 以 让 Internet 存 取 的 服务 器 啦 ! 就 有 点 类 似 图 9.1-4 的 DMZ 内 的 服务 器 
啊 ! 底下 也 先 来 谈 一 谈 DNAT 的 运作 吧 | 










Public IP | 


| oro 
S: 61.XX,XX.XX 


Dport: SO 





192,168.1.210 
WWW (port 80) 

HL 
D: 192.168.1.210 


图 9.5-3、 
DNAT 的 封包 传送 示意 图 


如 上 图 所 示 ， 假 设 我 的 内 部 主机 192.168.1.210 启动 了 WWW 服务 ， 这 个 服务 的 port 开 
局 在 port 80， 那 么 Internet 上 面 的 主机 (61.XX.XX.XX) 要 如 何 连接 到 我 的 内 部 服务 器 

呢 ? 当 然 啦 ， 还 是 得 要 透 过 Linux NAT 服务 器 嘛 ! 所 以 这 部 Internet 上 面 的 机 器 必须 要 
连接 到 我 们 的 NAT 的 public IP 才 行 。 


1， 外 部 主机 想 要 连接 到 目的 端的 WWW 服务 ， 则 必须 要 连接 到 我 们 的 NAT 服务 器 上 
头 ; 

2. 我 们 的 NAT 服务 器 已 经 设 定好 要 分 析出 port 80 的 封包 ， 所 以 当 NAT 服务 器 接 到 这 
个 封包 后 ， 会 将 目标 IP 由 public IP 改 成 192.168.1.210 ， 且 将 该 封包 相关 信息 记 
录 下 来 ， 等 待 内 部 服务 器 的 响应 ; 

3， 上 述 的 封包 在 经 过 路 由 后 ， 来 到 private 接口 处 ， 然 后 透 过 内 部 的 LAN 传送 到 
192.168.1.210 上 头 ! 

4，、192.186.1.210 会 响应 数据 给 61.xx.xx.Xx ， 这 个 回应 当然 会 传送 到 192.168.1.2 上 
头 去 ; 

5， 经 过 路 由 判断 后 ， 来 到 NAT Postrouting 的 链 ， 然 后 透 过 刚刚 第 二 步骤 的 记录 ， 将 来 
源 IP 由 192.168.1.210 改 为 public IP 后 ， 就 可 以 传送 出 去 了 ! 其 实 整 个 步骤 几乎 
就 等 于 SNAT 的 反 向 传送 哩 ! 这 就 是 DNAT 哆 ! 很 简单 吧 ! 


9.5.2 最 阳春 NAT 服务 器 : IP 分 享 功 能 


>- 


在 Linux 的 NAT 服务 器 服务 当中 ， 最 常见 的 就 是 类 似 图 9.1-2 的 IP 分 享 器 功能 了 。 而 由 刚刚 
的 介绍 你 也 该 知道 ， 这 个 IP 分 享 器 的 功能 其 实 就 是 SNAT 啦 ! 作用 就 只 是 在 iptables 内 的 
NAT 表格 当中 ， 那 个 路 由 后 的 POSTROUTING 链 进行 IP 的 伪装 就 是 了 。 另 外 ， 你 也 必须 要 
了 解 ， 你 的 NAT 服务 器 必须 要 有 一 个 public IP 接口 ， 以 及 一 个 内 部 LAN 连接 的 private IP 
界面 才 行 。 底 下 的 范例 中 ， 鸟 哥 的 假设 是 这 样 的 : 


e 外 部 接口 使 用 eth0 ， 这 个 接口 具有 publicIP 吗 ; 


e 内 部 接口 使 用 eth1 ， 假 设 这 个 IP 为 192.168.100.254 ; 


记 住 ! 当 你 利用 前 面 几 章 谈 到 的 数据 来 设 定 你 的 网 络 参数 后 ， 务 必要 进行 路 由 的 检测 ， 因为 

在 NAT 服务 器 的 设 定 方面 ， 最 容易 出 错 的 地 方 就 是 路 由 了 | 尤其 是 在 拨 接 产生 ppp0 这 个 对 

外 接口 的 环境 下 ， 这 个 问题 最 严重 。 反 正 你 要 记得 : 『 如 果 你 的 public IP 取得 的 方式 是 拨 接 
或 cable modem 时 ， 你 的 配置 文件 /etc/sysconfig/network, ifcfg-eth0, ifcfg-eth1 等 档案 ， 千 

万 不 要 设 定 GATEWAY 啦 ! 」 否则 就 会 出 现 两 个 default gateway ， 反 而 会 造成 问题 。 


如 果 你 刚刚 已 经 下 载 了 iptables.rule ， 那 么 该 档案 内 已 经 含有 NAT 的 脚本 了 ! 你 可 以 看 到 该 
档案 的 第 二 部 份 关 于 NAT 服务 器 的 部 分 ， 应 该 有 看 到 底下 这 几 行 : 

iptables -A INPUT -i $INIF -j ACCEPT 

# 这 一 行为 非 必要 的 ， 主 要 的 目的 是 让 内 网 LAN 能 够 完全 的 使 用 NAT 服务 器 资源 。 

# 其 中 $INIF 在 本 例 中 为 eth1 接口 


echo "1" &gt; /proc/sys/net/ipv4/ip_forward 
# 上 头 这 一 行 则 是 在 让 你 的 Linux 具有 router 的 能 力 


iptables -t nat -A POSTROUTING -s $innet -0 $EXTIF -j MASQUERADE 


# 这 一 行 最 关键 ! 就 是 加 入 nat table 封包 伪装 ! 本 例 中 $innet 是 192.168.100.0/24 
# 而 $EXTIF 则 是 对 外 界面 ， 本 例 中 为 eth0 


重点 在 那个 上 MASQUERADE 4」 ! 这 个 设 定 值 就 是 『IP 伪装 成 为 封包 出 去 (-0) 的 那 块 装置 
上 的 IPJ 1! 以 上 面 的 例子 来 说 ， 就 是 $EXTIF ， 也 就 是 eth0 啦 ! 所 以 封包 来 源 只 要 来 自 
$innet (也 就 是 内 部 LAN 的 其 他 主机 ) ， 只 要 该 封包 可 透 过 eth0 传送 出 去 ， 那 就 会 自动 的 修 
改 IP 的 来 源 表 头 成 为 eth0 的 publicIP 啦 ! 就 这 么 简单 ! 你 只 要 将 iptables.rule 下 载 后 ， 并 
设 定好 你 的 内 、 外 网 络 接口 ， 执 行 ijptables.rule 后 ， 你 的 Linux 就 拥有 主机 防火 墙 以 及 NAT 
服务 器 的 功能 了 | 


例题 : 如 同上 面 所 述 的 案例 ， 那 么 你 的 LAN 内 的 其 他 PC 应 该 要 如 何 设 定 相关 的 网 络 参数 ?了 
答 : 答案 其 实 很 简单 啊 ， 将 NAT 服务 器 作为 PC 的 GATEWAY 即 可 1 只 要 记得 底下 的 参数 
值 : 


e。 NETWORK 为 192.168.100.0 

e。 NETMASK 为 255.255.255.0 

。 BROADCAST 为 192.168.100.255 

e。 IP 可 以 设 定 192.168.100.1 ~ 192.168.100.254 间 ， 不 可 重复 |! 

。 通讯 闭 (Gateway) 需要 设 定 为 192.168.100.254 (NAT 服务 器 的 Private IP) 

。 DNS (/etc/resolv.conf) 需 设 定 为 168.95.1.1 (Hinet) 或 139.175.10.20 (Seed Net)， 这 个 
请 依 你 的 |SP 而 定 ; 


事实 上 ， 除 了 IP 伪装 (MASQUERADE) 之 外 ， 我 们 还 可 以 直接 指定 修改 IP 封包 表 头 的 来 源 
IP 呢 ! 举例 来 说 ， 如 下 面 这 个 例子 : 


例题 : 假设 对 外 的 |P 国定 为 192.168.1.100 ， 若 不 想 使 用 伪装 ， 该 如 何 处 理 ? 了 答 : 


iptables -t nat -A POSTROUTING -o etho -j SNAT AN 
--to-source 192.168.1.100 


例题 : 假设 你 的 NAT 服务 器 对 外 IP 有 好 几 个 ， 那 你 想 要 轮流 使 用 不 同 的 |P 时 ， 又 该 如 何 设 
定 ?举例 来 说 ， 你 的 IP 范围 为 192.168.1.210~192.168.1.220 答 : 


iptables -t nat -A POSTROUTING -oO eth0 -j SNAT AN 
--to-source 192.168.1.210-192.168.1.220 


这 样 也 可 以 修改 网 络 封包 的 来 源 IP 资料 唱 ! 不 过 ， 除 非 你 使 用 的 是 国定 IP ， 且 有 多 个 IP 可 
以 对 外 联机 ， 否 则 一 般 使 用 IP 伪装 即 可 ， 不 需要 使 用 到 这 个 SNAT 啦 ! 当然 ， 你 也 可 能 有 自 
己 的 独特 的 环境 啦 | ^ ^ 


9.5.3 iptables 的 额外 核心 模块 功能 


如 果 你 刚刚 在 iptables.rule 内 的 第 二 部 分 有 仔细 看 的 话 ， 那 有 没有 觉得 很 奇怪 ， 为 何 我 们 需 

要 加 载 一 些 有 用 的 模块 ?举例 来 说 ，ipnat ftp 及 jp_nat irc ? 这 是 因为 很 多 通讯 协议 使 用 的 
封包 传输 比较 特殊 ， 尤 其 是 FTP 文件 传输 使 用 到 两 个 port 来 处 理 数据 ! 这 个 部 分 我 们 会 在 

FT 户 章 节 再 来 详 谈 ， 在 这 里 你 要 先知 道 ， 我 们 的 jptables 提供 很 多 好 用 的 模块 ， 这 些 模块 可 
以 辅助 封包 的 过 滤 用 途 ， 让 我 们 可 以 节省 很 多 jptables 的 规则 拟定 ， 好 棒 的 呐 ! 八 


9.5.4 在 防火 墙 后 端 之 网 络 服务 器 DNAT 设 定 


既然 可 以 做 SNAT 的 IP 分 享 功能 ， 我 们 当然 可 以 使 用 iptables 做 出 DMZ 啦 ! 但 是 再 次 重 
申 ， 不 同 的 服务 器 封包 传输 的 方式 可 能 有 点 差异 ， 因 此 ， 建 议 新 手 不 要 玩 这 个 吹 吹 1 否则 很 
容易 导致 某 些 服务 无 法 顺利 对 Internet 提供 的 问题 。 


先 来 谈 一 谈 ， 如 果 我 想 要 处 理 DNAT 的 功能 时 ，iptables 要 如 何 下 达 指 令 ? 另外 ， 你 必须 要 
知道 的 是 ，DNAT 用 到 的 是 nattable 的 Prerouting 链 喔 ! 不 要 搞 错 了 。 


例题 : 假设 内 网 有 部 主机 IP 为 192.168.100.10 ， 该 主机 是 可 对 Internet 开放 的 WWW 服务 
器 。 你 该 如 何 透 过 NAT 机 制 ， 将 WWW 封包 传 到 该 主机 上 ? 答 : 假设 public IP 所 在 的 接口 
为 eth0 ， 那 么 你 的 规则 就 是 : 


iptables -t nat -A PREROUTING -i etho -p tcp --dport 80 \ 
-j] DNAT --to-destination 192.168.100.10:80 


那个 『 -j DNAT --to-destination IP[:port] 4 就 是 精 散 啦 ! 代表 从 eth0 这 个 接口 传 入 的 ， 且 想 
要 使 用 port 80 的 服务 时 ， 将 该 封包 重新 传导 到 192.168.100.10:80 的 IP 及 port 上面 ! 可 以 
同时 修改 IP 与 port 呢 ! 引 方便 。 其 他 还 有 一 些 较 进 阶 的 iptables 使 用 方式 ， 如 下 所 示 : 


-] REDIRECT --to-ports &lt;port number&gt ; 

# 这 个 也 捍 常 见 的 ， 基 本 上 ， 就 是 进行 本 机 上 面 port 的 转换 就 是 了 | 

# 不 过 ， 特 别 留意 的 是 ， 这 个 动作 仅 能 够 在 nat table 的 PREROUTING 以 及 
# OUTPUT 链 上 面 实行 而 已 喔 ! 


范例 : 将 要 求 与 80 联机 的 封包 转 递 到 8080 这 个 port 

[root@www ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 \ 
&gt; -] REDIRECT --to-ports 8080 

# 这 玩意 最 容易 在 你 使 用 了 非 正规 的 port 来 进行 某 些 well known 的 协议 ， 

# 例如 使 用 808Q 这 个 port 来 启动 Www ， 但 是 别人 都 以 port 80 来 联机 ， 

# 所 以 ， 你 就 可 以 使 用 上 面 的 方式 来 将 对 方 对 你 主机 的 联机 传递 到 8080 哩 ! 


至 于 更 多 的 用 途 ， 那 就 有 待 你 自己 的 发 握 哆 ! 人 人 ^ 


9.6 重点 回顾 


。 要 拥有 一 部 安全 的 主机 ， 必 须要 有 良好 的 主机 权限 设 定 ; 随时 的 更 新 套件 ; 定期 的 重要 
数据 备份 ; 完善 的 员工 教育 训练 。 仅 有 防火 墙 是 不 足够 的 ; 

。 防火 墙 最 大 的 功能 就 是 帮助 你 『 限 制 某 些 服务 的 存 取 来 源 」， 可 以 管制 来 源 与 目标 的 IP 

e 防火 墙 依据 封包 抵挡 的 阶层 ， 可 以 分 为 Proxy 以 及 IP Filter (封包 过 滤 ) 两 种 类 型 ; 

。 在 防火 墙 内 ， 但 不 在 LAN 内 的 服务 器 所 在 网 域 ， 通 常 被 称 为 0 ， 如 图 9.1- 
ee ; 

。 封包 过 滤 机 制 的 防火 墙 ， 通 常 至 少 可 以 分 析 |P, port, flag (如 TCP 封包 的 SYN), MAC 等 
等 ; 

。 防火 墙 对 于 病毒 的 抵挡 并 不 敏感 ; 

e 防火 墙 对 于 来 自 内 部 的 网 络 误 用 或 滥用 tt gn ; 

e 并 不 是 架设 防火 墙 之 后 ， 系 统 就 一 定 很 安全 |! 还 是 需要 更 新 套件 漏洞 以 及 管制 使 用 者 及 
权限 设 定 等 ; 

e。 核心 2.4 以 后 的 Linux 使 用 iptables 作为 防火 墙 的 软件 ; 

e。 防火 墙 的 订 定 与 『 规 则 顺序 」 有 很 大 的 关系 ; 若 规则 顺序 错误 ， 可 能 会 导致 防火 墙 的 失 
效 ; 

。 iptables 的 预 设 table 共有 三 个 ， 分 别 是 filter nat 及 mangle ， 惯 用 者 为 filter (本 机 ) 与 
nat (后 端 主机 )。 

e filter table 主要 为 针对 本 机 的 防火 墙 设 定 ， 依 据 封 包 流 向 又 分 为 INPUT, OUTPUT, 
FORWARD 三 条 链 ; 

e nat table 主要 针对 防火 墙 的 后 端 主机 ， 依 据 封 包 流 向 又 分 为 PREROUTING, OUTPUT 
POSTROUTING 三 条 链 ， 其 中 PREROUTING 与 DNAT 有 关 ，POSTROUTING 则 与 
SNAT 有 关 ; 

。 iptables 的 防火 墙 为 规则 比 对 ， 但 所 有 规则 都 不 符合 时 ， 则 以 预 设 政策 (policy) 作为 封包 
的 行为 依据 ; 

e iptables 的 指令 列 当 中 ， 可 以 下 达 的 参数 相当 的 多 ， 当 下 达 -j LOG 的 参数 时 ， 则 该 封包 
的 流程 会 被 纪录 到 /varlog/messages 当中 ; 

e 防火 墙 可 以 多 重 设 定 ， 例 如 虽然 已 经 设 定 了 iptables ， 但 是 仍然 可 以 持续 设 定 TCP 
Wrappers ， 因 为 谁 也 不 晓得 什么 时 候 iptables 会 有 汤 洞 ~ 或 者 是 规则 规划 不 良 ! 


9.7 本 章 习 题 


e 为 什么 我 架设 了 防火 墙 ， 我 的 主机 还 是 可 能 中 毒 ? 防火 墙 不 是 万 灵 丹 ， 他 还 是 可 能 被 病 
毒 或 者 是 木马 程序 所 入 侵 的 ! 此 外 ， 如 果 你 的 主机 本 身 就 已 经 提供 了 多 个 网 络 服务 ， 则 
当 该 网 络 服务 的 软件 有 漏洞 时 ， 防火墙 仍然 无 法 克服 该 服务 的 漏洞 的 ! 因此 仍然 需要 持 
续 的 进行 主机 的 监视 与 后 端 分 析 工 作 

e。 请 说 明 为 何 架设 了 防火 墙 ， 我 的 主机 还 是 可 能 被 入 侵 ? 入侵 的 依据 可 能 是 什么 方法 ? 
为 防火 墙 仅 是 抵挡 某 些 不 受 欢 迎 的 封包 ， 如 果 你 有 开放 WWW 的 服务 时 ， 则 要 求 你 主机 
port 80 的 封包 将 可 直接 进入 你 的 主机 ， 万 一 WWW 套件 有 漏洞 时 ， 那 么 就 可 能 被 入 侵 
了 上 ! 所 以 软件 的 更 新 很 重要 | 

e 我 们 知道 核心 为 2.6 的 Linux 使 用 的 防火 墙 机 制 为 iptables ， 请 问 ， 如 何 知道 我 的 Linux 
核心 版 本 ?利用 uname -r 可 以 查 得 |! 

。 请 列 出 iptables 预 设 的 两 个 主要 的 table ， 以 及 各 个 table 里 面 的 chains 与 各 个 chains 
所 代表 的 意义 ; filter 为 预 设 的 Table， 里 头 预 设 的 链 有 : 


o INPUT : 为 来 自 外 部 ， 想 要 进入 主机 的 封包 ; 
o OUTPUT : 为 来 自主 机 ， 想 要 离开 主机 的 封包 ; 
o FORWARD : 为 主机 内 部 网 域 与 外 部 网 域 的 封包 (不 论 进 或 者 出 )， 但 该 封包 不 会 进入 
主机 。 
还 有 nat 这 个 table : 


o PREROUTING : 进行 路 由 之 前 的 封包 传送 过 程 
o OUTPUT : 离开 主机 的 封包 传送 过 程 ; 
o POSTROUTING : 已 经 经 过 路 由 了 ， 然 后 才 进 行 的 过 滤 规 则 。 
。 什么 是 iptables 的 预 设 政策 (Policy)? 若 我 要 针对 filter 的 INPUT 做 成 DROP 的 默认 政 
策 ， 指 令 如 何 下 达 ? 当 封 包 的 所 有 属性 都 不 在 防火 墙 的 规则 当中 时 ， 那 么 这 个 封包 能 否 
顺利 的 通过 防火 墙 ， 则 以 Policy 作为 这 个 封包 的 最 终 动作 了 ! iptables -P INPUT DROP 


。 假设 今天 我 的 Linux 仅 是 作为 Client 之 用 ， 并 没有 对 Internet 进行 任何 服务 ， 那 么 你 的 
防火 墙 规划 应 该 如 何 设 定 比 较 好 ? 既然 没有 对 Internet 提供 任何 服务 ， 那 么 (1) 请 将 所 有 
的 对 外 埠 口 先 关闭 吧 ! (2) 防 火 墙 规则 当中 ， 最 重要 的 是 INPUT 的 Policy 一 定 要 DROP 
， 然 后 将 『 iptables -AINPUT -m state --state RELATED,ESTABLISHED -j ACCEPT J 
即 可 | 

。 我 要 将 来 自 192.168.1.50 这 个 IP 来 源 的 封包 ， 只 要 是 向 我 的 21~23 埠 口 要 求 的 封包 ， 
就 将 他 抵挡 ， 应 该 如 何 下 达 iptables 指令 ? iptables -A INPUT -p tcp -s 192.168.1.50 -- 
dport 21:23 -jj DROP 

。 我 要 将 我 自己 主机 ping 的 响应 功能 取消 ， 应 该 如 何 下 达 iptables 的 指令 ? 因为 ping 能 否 
响应 用 的 是 icmp 的 type 8 (请 参考 网 络 基 础 内 的 ICMP 相关 内 容 )， 所 以 我 可 以 这 样 做 : 
iptables -| INPUT -p icmp --icmp-type 8 -DROP 

e 请 说 明 为 何 这 个 指令 是 错误 的 ? Tiptables -AINPUT -p udp --syn -s 192.168.0.20 -j 


DROPJ ? 因为 只 有 TCP 封包 才 会 具有 SYN 的 标志 ，UDP 并 没有 SYN 的 标志 啊 ! 所 
以 上 面 的 指令 是 错误 的 

DNS 的 要 求 是 必须 的 ， 那 么 我 该 如 何 设 定 我 的 主机 可 以 接受 要 求 DNS 的 响应 呢 ? 因为 
DNS 的 来 源 是 port 53 ， 因 此 要 接受 来 自 port 53 的 封包 就 成 为 了 : iptables -AINPUT - 
p udp --sport 53 -| ACCEPT iptables -AINPUT -ptcp --sport 53 -| ACCEPT 

如 何 取消 iptables 在 我 的 系统 上 面 ? 先 要 清除 规则 后 ， 才 能 够 将 iptables 移 除 ! 不 过 ， 
我 们 主要 将 规则 清除 即 可 | iptables -F; iptables -Xi; iptables -Z iptables -t nat -F; iptables 
-t nat -X; iptables -t nat -Z 

如 何 储存 目前 的 防火 墙 机 制 ， 以 及 如 何 将 上 次 储存 下 来 的 机 制 回复 到 目前 的 系统 中 ?请 
利用 iptables-save 以 及 iptables-restore 这 两 个 指令 ， 配 合 命令 重 导 向 即 可 1! 也 可 以 使 
用 /etc/init.d/iptables save 来 储存 呢 ! 

如 果 你 的 区 网 当中 有 个 PC 使 用 者 老 是 连 上 Internet 乱 搞 ， 你 想 要 将 他 的 IP 锁 住 ， 但 他 
总 是 有 办 法 修改 成 其 他 IP 来 连 外 ， 那 你 该 怎么 办 ?让 他 无 法 继续 连 外 ? 可 以 利用 封锁 网 
络 卡 卡号 MAC 来 处 理 ! 


9.8 参考 数据 与 延伸 阅读 


。 注 1: squid 官网 : http://www.squid-cache.org/ 鸟 哥 的 旧版 文 
章 : http://linux.vbird.org/linux_server/0420squid.php 
。 注 2 ; 与 iptables 相关 的 网 站 与 书籍 : 中 文 网 站 : 
o http://www.study-area.org/linux/servers/linux_nat.htm 美 文 网 站 : 
o http://www.netfilter.org/ 
o http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.html 
o http://www.interhack.net/pubs/fwfaq/ 
o http://www.sysresccd.org/Sysresccd-Networking-EN-Destination-port-routing 其 他 书 
籍 与 数据 : 
o RobertL. Ziegler 着 ， 朱 亮 恺 等 译 ，『 实 战 Linux 防火 墙 --iptables 应 用 全 搜 录 4 ， 
上 奇 出 版 社 ，2004。 
o 本 机 的 核心 文件 : /usrsrc/linux-{fversionynetworking/ip-sysctl.txt 
o iptables 的 内 建 tables 与 各 个 chain 的 相关 性 : 
http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png 
HOWTO-12.html 
o 使 用 PPPoE 导致 的 MTU 问 
题 : http://www.akadia.com/services/pppoe_iptables.html 


2002/08/20 : 第 一 次 完成 日 期 ! 2003/08/25 : 重新 设计 内 容 ， 改 号 一 些 指令 介绍 ， 与 前 一 篇 
『 认 识 网 络 安全 」 分 的 比较 完整 一 点 ! 2006/09/06 : 将 下 的 文章 移动 到 此 处 2006/09/11 : 拿 
掉 了 已 经 在 基础 篇 有 介绍 过 的 认识 服务 之 TCP Wrappers。 2006/09/13 : 加 入 NAT 的 说 明 
了 ， 将 四 的 NAT 主机 移动 到 此 处 。2006/09/15 : 将 iptables.rule 的 连结 贴 上 去 了 ! 之 前 忘 
记 修改 该 档案 了 ~ 2006/11/08 : 因为 PPPoE 拨 接 与 Ethernet 的 MTU 不 同 ， 可 能 在 某 些 情 
况 下 会 导致 使 用 者 无 法 联机 ， 更 新 了 iptables.rule 了 。 2010/10/27 : 将 昌 的 基于 CentOS 4.x 
的 版 本 移动 到 此 处 2011/02/08 : 修改 了 很 多 图 示 ， 并 且 将 文句 作 个 整理 ， 大 方向 并 没有 特殊 
的 修改 | 2011/07/22 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


第 十 章 、 申 请 合法 的 主机 名 


最 近 更 新 日 期 : 2011/07/23 


在 读 完 了 网 络 基础 并 且 架 设 了 个 人 简易 的 防火 墙 之 后 ， 总 算是 准备 要 开始 来 给 他 进入 Server 
的 架设 了 | 服务 器 架设 的 步骤 里 面 ， 很 重要 的 一 点 是 『 你 的 主机 名 必须 要 在 Internet 上 面 可 
以 被 查询 」 才 好 ! 这 是 因为 人 类 对 于 IP 记忆 力 不 佳 ， 所 以 才 会 以 主机 名 来 取代 IP。 不 过 ， 

你 的 主机 名 要 能 够 被 查询 到 才 有 用 啊 ! 这 个 时 候 ， 一 个 『 合 法 」 的 主机 名 就 很 重要 了 | 那 要 
合法 的 主机 ， 就 得 要 让 DNS 系统 能 够 找 的 到 你 的 主机 啊 ! 不 过 ， 如 果 我 们 的 主机 是 使 用 拨 接 
得 到 的 不 国定 IP 呢 ? 又 该 如 何 申请 DNS 主机 名 ? 那 就 得 要 使 用 动态 DNS 的 系统 喝 ! 在 这 个 
章节 中 ， 我 们 主要 在 介绍 Client 端的 设 定 ， 而 不 是 在 设 定 DNS 服务 器 吕 1 ^ ^ 


e 10.1 为 何 需要 主机 名 
o 10.1.1 主机 名 的 由 来 
o 10.1.2 重点 在 合法 授权 
o 10.1.3 申请 静态 还 是 动态 DNS 主机 名 
e 10.2 注册 一 个 合法 的 主机 名 
o 10.2.1 静态 DNS 主机 名 注册 : 以 Hinet 为 例 
o 10.2.2 动态 DNS 主机 名 注册 : 以 no-ip 为 例 
e 10.3 重点 回顾 
。 10.4 本 章 习 题 
e 10.5 参考 数据 与 延伸 阅读 
e 10.6 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?t=26634 


10.1 为 何 需要 主机 名 


如 果 你 已 经 将 第 二 章 的 网 络 基础 看 完 的 话 ， 应 该 会 知道 其 实 我 们 的 TCP/IP 环境 只 要 有 IP 与 
正确 的 路 由 即 可 联机 了 。 那 么 你 申请 主机 名 要 干 嘛 ? 因为 『 没 办 法 啊 | 人 脑 太 不 中 用 了 |] 
举例 来 说 ， 你 可 以 背 出 来 我 们 常 上 去 查 数据 的 www.google.com 的 IP 吗 ?报告 ! 鸟 哥 没 办 法 
背 出 来 ~ 


因为 IP 是 那么 难 背 的 东西 ， 而 有 全， 如 果 你 的 IP 又 是 类 似 拨 接 的 不 国定 的 IP 时 ， 那 还 更 伤 脑 
筋 呢 ! 因此 我 们 才 会 习惯 以 熟悉 的 英文 字符 串 来 做 为 主机 名 ， 然 后 让 『 这 个 主机 名 与 IP 达成 
对 应 ]， 那 直接 记忆 主机 名 就 行 了 ， 反 正 IP 的 查询 就 交 给 计算 机 主机 来 做 即 可 ! 在 这 样 的 想 
法 下 ， 我 们 当然 就 需要 有 主机 名 啦 ! 


Tips: 在 这 个 章节 当中 ， 我 们 将 会 介绍 如 何 申请 一 个 合法 的 主机 名 。 目 前 Internet 上 面 使 用 的 
主机 名 都 是 透 过 所 谓 的 DNS 系统 ， 而 你 想 要 取得 一 个 DNS 的 主机 名 ， 就 必须 要 『 注 册 J」 ， 

所 谓 的 『 注 册 」 就 是 要 钱 去 申请 啦 | 当然 也 有 免费 提供 主机 名 的 服务 啦 ! 在 这 个 章节 当中 乌 
可 不 会 介绍 如 何 架 设 一 部 DNS 服务 器 ， 而 是 介绍 如 何 利用 注册 或 免费 申请 的 方式 来 达成 主 

机 名 的 取得 。 


10.1.1 主机 名 的 由 来 


因为 IP 是 这 么 难 记 忆 的 东西 ， 因 此 人 们 就 使 用 『 名 字 J 来 对 应 到 主机 的 IP， 这 就 是 主机 名 的 
由 来 。 好 在 早期 连 上 网 络 的 计算 机 数量 不 多 ， 所 以 在 网 络 上 的 人 们 就 想 出 一 个 简单 的 办 法 来 
进行 主机 名 与 IP 的 对 应 ， 那 就 是 『 在 每 部 计算 机 的 /etc/hosts 里 面 设 定 好 主机 名 与 IP 的 对 应 
表 J。 那 么 人 们 就 可 以 直接 藉 由 主机 名 来 连接 上 某 些 网 络 上 的 主机 嘿 ! 


然而 因为 科技 的 发 达 ， 连 上 Internet 的 人 们 越 来 越 多 ， 使 用 /etc/hosts 的 方法 已 经 搞 不 定 了 
(只 要 一 部 新 计算 机 上 线 ， 全 部 Internet 上 面 的 所 有 计算 机 都 要 重新 改写 /etc/hosts 才 行 !)， 
这 个 时 候 领域 名 系统 ( Domain Name System, DNS ) 就 适时 的 出 现 了 ! 


DNS 利用 类 似 树 状 目 录 的 型 态 ， 将 主机 名 的 管理 分 配 在 不 同 层级 的 DNS 服务 器 当中 ， 经 由 

分 层 管理 ， 所 以 每 一 部 服务 器 记忆 的 信息 就 不 会 很 多 ， 而 且 蜡 动 上 面 也 相当 的 容易 修改 1 这 
个 DNS 的 功能 你 知道 了 吗 ? 对 啦 ! 就 是 『 将 计算 机 主机 的 名 称 转译 成 IP 4 就 是 了 |! 当然 

嘿 ， 他 的 额外 功能 还 很 多 ， 关 于 DNS 的 详细 的 解析 部 分 我 们 将 在 后 续 的 第 十 九 章 DNS 服务 
器 架设 当中 再 持续 的 加 强 内 容 ， 总 之 ， 它 的 最 大 功能 就 是 『 让 有 意义 的 ， 人 类 较 容 易 记 忆 的 
主机 名 (英文 字母 )， 转 译 成 为 计算 机 所 熟悉 的 IP 地 址 1 ] 


透 过 上 面 的 简单 说 明 ， 你 得 要 知道 ， 如 果 你 想 要 一 个 主机 名 ， 那 你 就 得 要 透 过 DNS 系统 
不 是 单纯 的 修改 你 的 /etc/hosts 而 已 。 那 你 如 何 加 入 一 个 主机 名 到 DNS 系统 当中 呢 ? ER 
权 J」 是 重点 ! 那 什么 是 授权 呢 ? 


10.1.2 重点 在 合法 授权 


很 多 朋友 都 认为 : 『 因 为 我 想 要 架 站 ， 所 以 主机 需要 有 个 主机 名 ， 因 此 我 就 得 要 架设 DNS 服 
务 器 ? 」 是 这 样 吗 ? 当然 不 是 吧 1 DNS 是 个 很 庞大 的 架构 ， 而 且 是 串 连 在 全 球 的 网 络 当 中 ， 

除非 你 经 由 『 注 册 J 的 手续 来 让 DNS 系统 承认 你 主机 名 存在 的 合法 性 ， 否 则 你 架设 的 DNS 

只 能 说 是 一 个 『 地 下 练习 的 测试 站 」 而 已 啦 ! 并 没有 用 途 的 。 


那 我 要 如 何 加 入 DNS 系统 呢 ? 很 简单 啦 | 首先 你 必须 要 选择 一 个 注册 单位 ， 并 且 检 查 出 你 
想 要 注册 的 主机 名 是 否 存 在 ? 主机 名 是 有 意义 的 ， 并 不 是 你 可 以 随便 注册 的 喔 ! 举例 来 说 ， 
在 台湾 常见 的 个 人 网 站 注册 主机 名 为 : .idv.tw ， 而 公司 行 号 则 可 能 注册 为 .com.tw 了 |! 这 个 
得 要 特别 留意 。 至 于 台湾 地 区 的 注册 单位 很 多 ， 你 可 以 选择 例如 Hinet 或 Seednet 之 类 的 
ISP 来 注册 。 当 然 ， 你 也 可 以 选择 免费 的 no-ip.org 来 注册 的 。 
如 果 想 要 了 解 啥 是 『 合 法 授权 J 的话， 得 要 从 DNS 主机 名 的 查询 方式 来 谈 起 ， 由 于 DNS 查 
询 的 方式 都 是 由 上 层 的 1SP 提供 解析 授权 给 下 游 的 注册 者 ， 因 此 ， 下 游 的 注册 者 只 要 设 定 妥 
当 后 ， 全 世界 的 主机 就 会 知道 你 设 定 的 数据 了 。 详 细 的 查询 流程 我 们 留 到 DNS 服务 器 章节 再 
来 谈 ， 底 下 仅 是 介绍 一 个 简单 的 查询 示意 图 。 


世界 的 DNS 系统 


www, dic.ksu,edu,tw 





图 10.1-1、DNS 查询 


示意 图 

举 昆山 信息 传播 系 的 WWW 服务 器 的 主机 名 注册 方式 来 说 好 了 ， 我 们 系 上 得 要 先 跟 昆山 计 中 
(相当 于 我 们 的 |SP) 注册 取得 www.dic.ksu.edu.tw 这 ea 与 IP 的 对 应 ， 这 个 对 应 信息 是 
写 在 昆山 计 中 的 DNS 服务 器 上 ， 与 资 传 系 的 WWW 服务 器 无 关 喔 ! 那 你 怎么 知道 那 部 
www.dic.ksu.edu.tw 在 哪里 ? 你 会 先 向 你 的 DNS Pee ， 该 DNS 会 去 向 全 世界 的 DNS 
系统 查询 ， 该 系统 会 主动 的 查询 到 KSU dns 服务 器 ， 然 后 你 的 PC 就 会 知道 
www.dic.ksu.edu.tw 的 IP 在 哪 ， 最 后 你 就 开始 联机 嘿 。 


从 这 个 流程 当中 ， 你 可 以 发 现 我 们 的 www 服务 器 与 KUS dns 服务 器 没有 绝对 关系 ， 两 者 是 
独立 的 ， 我 们 只 要 作 好 DNS 的 『 注 册 4 工 作 (向 计 中 申请 注册 ) 即 可 ， 并 不 需要 去 维护 DNS 
的 信息 。 所 以 嚼 ， 这 里 你 只 要 知道 : (1) 主 机 名 的 设计 是 有 意义 的 ， 不 可 以 随便 设 定 、(2) 主 
机 名 要 生效 ， 得 要 透 过 注册 来 取得 合法 授权 。 这 样 就 好 了 ， 如 果 想 要 架设 DNS 与 更 了 解 
DNS 系统 的 话 ， 等 到 后 续 的 DNS 服务 器 章节 再 来 谈 。 


Tips: 在 这 个 章节 当中 ， 理 论 方面 的 讲解 比较 少 ， 因 为 很 多 数据 都 与 DNS 服务 器 篇 有 重复 ， 
在 这 个 章节 当中 岛 哥 主要 在 介绍 动态 IP 架 站 的 一 个 简单 主机 名 申请 方式 啦 | A ^ 


10.1.3 申请 静态 还 是 动态 DNS 主机 名 


由 上 面 的 说 明 当 中 ， 我 们 可 以 很 清楚 的 知道 DNS 系统 最 大 的 功能 就 是 在 主机 名 对 应 IP 的 转 
译 上 面 。 当 然 啦 ， 预 设 的 DNS 转译 是 用 在 『 固 定 IP 对 应 主机 名 J 的 方法 上 面 的 ! 就 像 上 面 
的 图 10.1-1 所 示 一 般 。 在 这 个 情况 底下 ， 你 在 DNS 架构 下 申请 完 主 机 名 后 ， 如 果 你 的 IP 不 
会 更 动 ， 那 就 永远 不 用 去 烦恼 主机 名 的 相关 问题 史 ， 这 也 是 所 谓 的 静态 DNS 主机 名 功能 。 


但 是 ... 天 寿 喔 ! 我 们 的 很 多 小 网 站 都 是 以 非 固 定 IP 来 上 网 的 ， 更 有 其 者 ， 某 些 ADSL 拨 接 模 
式 其 至 会 定时 强制 断 线 ， 也 就 是 说 ， 在 一 段 时 间 后 ， 我 们 都 得 需要 重新 拨 接 上 网 ， 而 每 次 拨 
接 成 功 后 取得 的 IP 可 不 见得 相同 啊 ， 如 此 一 来 IP 不 是 一 直 在 变 吗 ? 那么 我 不 就 需要 一 直 跟 
我 上 层 DNS 主机 的 管理 员 申 请 『 变 更 IP 」 吗 ? 会 不 会 太 麻 烦 了 点 ? 


是 很 麻烦 啊 | 所 以 现在 为 了 解决 这 个 问题 ， 很 多 ISP 提供 了 所 谓 的 动态 DNS 服务 的 功能 ， 
是 这 样 做 的 : 


1.Client 端 (就 是 你 啦 ) 每 次 开机 或 者 是 重新 拨 接 ， 并 取得 一 个 新 的 IP 之 后 ， 会 主动 向 DNS 
Server 端 提出 要 求 ， 和 希望 Server 端 变更 主机 名 与 IP 的 对 应 (这 个 步骤 在 每 个 主要 的 |ISP 
都 有 提供 适当 的 程序 来 提供 给 client 使 用 ) ; 


D 


Server 端 接受 Client 端的 要 求 之 后 ， 会 先 去 查询 Client 提供 的 账号 密码 是 否 正 确 ， 若 正 
确 就 会 立即 修改 Server 本 身 对 于 你 的 主机 名 的 设 定 值 。 


所 以 嚼 ， 每 次 我 们 取得 了 新 的 IP 之 后 ， 我 们 的 主机 名 对 应 的 IP 也 会 跟着 在 DNS 系统 上 面 更 
新 ， 如 此 一 来 ， 只 要 别人 知道 你 的 主机 名 ， 不 论 你 的 IP 为 何 ， 他 一 定 可 以 连 上 你 的 主机 ( 因 
为 IP 跟着 你 的 主机 而 变 ! ) 这 对 于 我 们 这 种 使 用 动态 IP 的 人 是 很 有 帮助 的 1 ( 阿 ! 申 是 造福 
我 们 这 些 穷苦 人 家 的 孩子 呀 ! ) 整个 程序 就 有 点 像 底下 的 图 示 ，WWW 服务 器 与 DNS 服务 器 
之 间 就 有 关连 性 啦 。 


和 外 相思 | i y: 禾 序 世 ， 妥 人 久 怠 加 潜入 第 二 由 
马 可 的 LinuX 和 鹤 房 杀 : 服务 友 宁 仅 局 竺 三 版 





服务 -- 客 户 端 向 服务 器 端 发 送 更 新 要 求 


不 过 ， 还 是 需要 注意 的 是 ， 目 前 的 主机 名 申请 很 多 是 『 需 要 钱 的 1 ! 如 果 你 需要 比较 稳定 的 


也 是 可 以 申请 免费 的 动态 DNS 服务 喔 ! 


10.2 注册 一 个 合法 的 主机 名 


根据 前 面 的 说 法 ， 如 果 你 只 想 要 有 合法 的 主机 名 的 话 ， 那 么 依据 你 的 IP 是 否 固定 而 有 : (1) 
静态 DNS 主机 名 与 (2) 动 态 DNS 主机 名 两 种 注册 方式 。 底 下 乌 哥 列 出 自己 有 注册 经 验 的 网 站 
提供 大 家 参考 : 
。 静态 DNS 主机 名 注册 : 静态 IP 对 应 主机 名 的 注册 网 站 实在 太 多 了 ， 底 下 是 鸟 哥 有 注册 
经 验 的 网 站 : 
o 台湾 网 络 信息 中 心 : http://www.twnic.net 
o 国外 的 领域 名 系统 : http://www.netsol.com 
o 国外 的 领域 名 系统 : http://www.dotster.com 
o 国外 的 领域 名 系统 : http://www.godaddy.com 
。 动态 DNS 主机 名 注册 : 至 于 免费 的 动态 DNS 系统 主要 就 是 这 个 NO-IP 公司 提供 的 网 站 
嘿 1 如 下 连结 : 


o 国外 的 免费 DNS 系统 : http://www.no-ip.com 


10.2.1 静态 DNS 主机 名 注册 : 以 Hinet 为 例 
静态 DNS 的 申请 方式 其 实 都 差不多 ， 都 是 需要 : 


1， 先 查询 所 想 要 注册 的 网 域 是 否 存在 ; 
2. 进入 1ISP 去 申请 注册 你 所 想 要 的 主机 名 ; 
3. 缴费 ， 并 等 待 主机 名 被 启用 。 


我 们 以 合 湾 变 常见 的 Hinet 这 个 |SP 提供 的 『 个 人 网 域 : .idvtwJ 注册 方式 来 说 明 : 
e 1. 登入 主 和 画面 ， 并 查询 欲 注 册 网 域 是 否 存 在 
先 连 结 到 底下 的 网 页 去 : http://domain.hinet.net/， 并 在 whois 的 画面 当中 (右上 角 ) 选 择 


你 想 要 注册 的 主机 名 ， 按 下 『GoJ 开始 搜寻 。 


whois 查询 : vbird [rw 司 Gol 


尔 要 注册 的 和 选择 个 二 下 本 全 
WE 选择 个 人 网 城 的 ,idv.tw 图 10.2-1、 利 用 whois 查询 欲 注册 


如 果 确 认 你 的 主机 名 没有 被 注册 掉 ， 那 么 你 就 可 以 开始 注册 了 ! 同样 的 在 上 面 的 网 站 连 
结 当中 ， 选 择 『 个 人 域名 4 就 可 以 开始 申请 了 ! 请 由 『 域 名 申请 」 开 始 依 序 一 步 一 步 办 
理 ! 这 里 不 再 说 明了 ， 反 正 都 是 中 文 ， 看 的 懂得 啦 ! ^ ^ 


全 英文 域名 【com twyorg twynet tw) 
命 个 人 域名 【dy tw) 

» 疯 城 名 入 申请 。 

» 身份 确认 

> 圭 帐 流 莞 通 #0 衫 必 

> 信用 卡 激 费 作业 

上 TIM 生 瞧 ) 激 费 作 业 

» DNS 黑 德 鼻 查询 

» 草 虽 | 密 硬 黑 动 

> 用 户 资 料 查询 / 黑 动 


> 将 域 名 称 移 二 
» 卡 理 洪 度 查询 
人 中 文昌 二 tw/ 放生) 图 10.2-2、 个 人 网 域 逐 步 注册 的 流程 示意 图 


。 3. 填写 主机 名 对 应 的 IP 


通常 花 个 几 天 等 待 缴费 完毕 后 ， 我 们 就 可 以 开始 进行 登入 与 主机 名 的 填写 了 ! 在 图 10.2- 
2 的 图 示 中 按 下 『DNS 姬 动 与 查询 4 的 项 目 ， 并 填 入 当初 注册 时 的 主机 名 与 密码 ， 然 后 
就 会 出 现 如 下 的 画面 了 : 


指定 型 能 说 明 : 

台湾 出路 资讯 中 心 提供 HOSTIP 指 定 服 萝 (DNS 代 管 ) ， 但 只 有 三 部 Host 的 限 
制 ， 若 您 的 主机 数 超 近 三 部 或 需要 IF 以 外 的 筷 圭 (如 MX record 、CNANE 
record) 请 自行 回访 定 DNS，DNS 盟 Host 型 能 钨 法 逆 存 。 


oe 


vbirdidvtw 指定 型 能 G 主机 CDNS 























DNSiHost Server Name IP Address | 
二 人 wwwvtiuiawtwr oli6d4180 








3、 主 机 名 与 IP 对 应 的 填写 范例 


图 10.2- 


特别 的 给 他 留意 ， 因 为 我 们 没有 要 架设 DNS 主机 ， 所 以 当然 最 上 方 要 选择 『 主 机 J 的 项 
目 ， 然 后 你 可 以 圭 入 三 部 主机 名 喔 ! 当然 ， 这 三 部 主机 名 可 以 通通 指向 同一 个 IP ， 也 可 
以 不 同 ! 随 你 的 便 呐 ! 需要 注意 到 的 是 ， 你 的 主机 名 应 该 是 
『othername.yourhost.idvtwJ 后 面 的 yourhost.idv.tw 是 不 变 的 ， 前 面 的 othername 则 
可 以 自由 选取 呢 ! 例如 岛 哥 上 面 的 设 定 ， 后 面 均 是 vbird.idvtw ， 而 前 面 的 名 称 就 可 以 让 
我 自由 选择 啦 ! 


。 4. 等 待 DNS 启用 


在 上 图 10.2-3 当中 按 下 『 霸 写 完 请 按 这 里 」 后 ， 就 等 着 启用 吧 ! 不 过 设 定 成 功 到 可 以 使 
用 ， 其 实 需要 一 定 的 时 间 的 。 以 鸟 哥 为 例 ， 第 一 次 申请 之 后 ， 大 约 过 了 20 小 时 该 设 定 
才 正 确 的 启动 呢 ! 请 耐心 等 候 啊 | 不 要 太 着 急 嘿 ! 人 人 ^ 


在 台湾 ， 各 家 的 领域 名 注册 流程 都 差不多 ， 不 过 ， 人 金额 是 有 点 差异 的 ， 当 然 ， 服 务 也 就 有 不 
同 啊 | 鸟 哥 的 vbird.org 领域 名 则 是 在 http://www.godaddy.com 注册 的 喔 ! 如 果 你 不 想 要 使 用 
.idv.tw 来 注册 的 话 ， 那 么 国外 的 |SP 提供 的 DNS 也 可 以 考虑 看 看 说 | 


10.2.2 动态 DNS 主机 名 注册 : 以 no-ip 为 例 


如 果 你 跟 鸟 哥 一 样 使 用 ADSL 拨 接 的 方式 来 上 网 ， 这 表示 你 的 IP 应 该 是 不 固定 的 ! 果 申 如 此 
的 话 ， 那 想 要 用 这 样 的 网 络 环境 来 架 站 就 比较 麻烦 一 点 ! 因为 上 面 利用 Hinet 注册 的 方式 通 
常 是 给 固定 IP 使 用 的 ， 你 应 该 不 会 想 要 天 天 上 去 更 新 你 的 IP 吧 ? 此 时 这 个 no-ip.com 所 提 
供 的 免费 动态 IP 对 应 主机 名 的 服务 就 很 重要 啦 ! 我 们 先 来 申请 一 个 主机 名 来 玩 玩 吧 | ^ 和 ^ 


你 必须 要 连 上 http://www.no-ip.com 这 个 网 站 ， 然 后 在 出 现 的 画面 当中 的 右上 角 部 分 ， 
选择 『 Create Account 」 那个 项 目 。 不 过 ， 如 果 你 已 经 有 no-ip 网 站 的 注册 账号 ， 那 么 
直接 跳 到 底下 第 四 步骤 去 登入 即 可 。 


Support Company 


User Login 





图 10.2-4、no-ip 网 站 的 注册 : 新 建 账号 点 选 


e 2. 开始 填写 识别 数据 


由 于 启动 账号 必须 由 no-ip 提供 一 个 注册 启动 的 连结 ， 因 此 你 必须 要 填写 正确 的 email 来 
接受 启动 码 。 整 个 注册 的 讯息 如 下 图 所 示 : 


AA 


篇 第 三 所 


中 


岛 哥 的 Linux 私 房 菜 : 服务 器 架 ; 


i) About You: 





First Name: |YBid 








Last Name: |Tssi 





How did you hear about us?: | FuendiColleague 可 





Zip/Postal Code: |s86 





Intended Use?: | Home web semex 了 | 


多 Account Information: 





Email: |]aa@grailcom| 





Password: |@OO@O0OOOOOO0 








Confirm Password: |@D 估 估 估 优优 分 优优 DD 


人 Account Access: 


Security Question: | Who wasyou childhood hew? 国 








Your Answer: [dsdy 








Birthday: | January 国 li ls 
5、no-ip 网 站 的 注册 : 新 账号 建立 所 需 填 写 数据 


最 重要 的 是 ， 在 该 网 页 的 最 下 方 还 有 验证 码 以 及 你 必须 要 勾 选 的 『| agree that...4 项 目 才 
行 喔 ! 最 后 才 点 选 『| Accept, Create my AccountJ 项 目 噜 。 详 细 图 示 如 下 所 示 : 


区 4 Terms of Service: 


Please review our T of Service (TOS) below. By creating an account you are agreeing to our TOS and 


Terms of Service 


1.ACCEPTANCE OF TERMS 


No-IP.com is an Internet-based Vveb site that offers DNS Hosting, dynamic DNS, URL Redirection, email 
hosting, domain name registration, server monitoring, and software Utilities teach a"Service" and 








By clicking on "1Accept' below you are agreeing to the Terms of Service above and the Privacy Policy. 


1Accept Create my Account 


图 10.2-6、no-ip 网 站 的 注册 : 新 账号 建立 务必 名 选项 目 


e 3. 启用 账号 
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鸟 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


在 你 申请 注册 一 个 新 账号 后 ，no-ip 会 发 一 封 信 给 你 ， 请 自行 参考 信件 内 容 ， 并 点 选 正 确 
的 局 动 码 连结 ， 那 你 的 账号 就 能 够 启动 ， 此 时 请 回 到 图 10.2-4 去 ， 针 对 你 的 
email(username)/ 密 码 (password) 填写 妥当 ， 就 能 够 登入 NO IP 网 站 了 。 

。 4. 登入 no-ip 且 设 定 主 机 名 与 IP 的 对 应 
透 过 图 10.2-4 的 样子 来 登入 后 ， 你 会 看 到 有 点 像 底下 的 图 示 ， 底 下 就 准备 来 处 理 你 主机 
名 与 IP 的 对 应 数据 了 : 


VBird, welcome to your No-IP! Last Login: 2011-02-14 08:48:40 


You have successfully logged into No-lIP's member section. To start using No-IP's services select an icon below or choose 


an item from the navigation above. SS 


Manage Domains Add Domain Refer Friend Add a Host Manage Hosts 
图 10.2-7、 登 入 NO IP 网 站 后 的 示意 图 
上 图 的 重点 在 于 『Add a Host (新 增 一 个 主机 名 ) 及 『Manage Hosts (管理 主机 名 )4 两 
者 ， 由 于 我 们 都 还 没有 主机 名 的 设 定 ， 因 此 首先 就 使 用 Add a Host 来 新 增 一 笔 主 机 名 
吧 | 按 下 那个 图 示 ， 之 后 就 会 出 现 底下 的 画面 : 


Hostname Information 





















Hostname: [vbirdtsai | no-ip.org 可 加 
a€ ost 的 © DNS Host Round Robin) © DNS Alias (CNAM 名 
1 
© Port 80 Redirect edirect 
IP Address: |140.116.44.180 二 久 
4 六 
Assignto Group: | - No Group - 园区 Configure Groups 9 
Enable Wildcard: wildcards are a Plus /Enhanced feature. Upyrade Now! @ 
*+ Accept Mailfor your Domain 
Let No-IP do the dirty work. Setup POP or forwarding for your name. 
Mail Options 
MX Record 人 MX Priority 
Enterthe name i exchangers tmx records) as hostnames not IP addresses. 
| ybirdtsai.no-ip.org 5 | 六 @ 


Ifyou would like a more Mx records, please upyrade to No-IP Plus or Enhanced. 


图 10.2-8、 新 增 一 个 主机 名 与 IP 对 应 的 方式 
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主要 填写 的 内 容 为 : 


你 想 要 的 主机 名 ; 

No IP 网 站 提供 的 领域 名 ， 与 上 个 名 称 组 合成 完整 的 主机 名 ; 

选择 单一 主机 的 IP 对 应 ; 

填写 该 主机 名 对 应 的 正确 IP 为 何 (后 续 可 以 透 过 程序 直接 修改 ， 这 里 随便 卉 也 没 关 
系 ) 

5.， 只 与 mail server 有 关 ， 所 以 写 不 写 都 无 所 谓 ， 不 过 ， 建 议 填写 自己 的 主机 名 即 可 
6. 若 上 述 数 据 都 正确 ， 按 下 Create Host 即 可 建立 成 功 。 如 果 该 主机 名 有 被 使 用 掉 的 
话 ， 屏 幕 会 出 现 警告 讯息 ， 此 时 请 再 选 境 另 外 的 主机 名 吧 ! 如 果 一 切 都 没有 问题 的 
话 ， 应 该 就 会 出 现 如 下 所 示 的 图 示 。 未 来 如 果 你 想 要 更 新 或 者 是 删除 或 者 是 新 增 主 
机 名 的 话 ， 就 透 过 下 图 的 示意 流程 来 处 理 即 可 。 且 由 下 图 你 也 可 以 知道 ， NO IP 有 
提供 5 个 免费 的 主机 名 给 你 使 用 喔 ! 站 是 太 棒 了 ! 如 果 你 想 要 维护 相关 数据 ， 就 使 
用 『 Manage Hosts J」 按钮 即 可 处 理 了 。 


HostsiRedirects DNS Hosting Domain Registration 


上 mnN 一 
















SSL Certificates Monitoring 





加 HostsiRedirects 





Manage Hosts 


] 
Current Hosts: 1 of5 Need More Hosts? Enhanc' 


+ Add Host 
+ Manage Hosts 
+ Manage Groups 
+ Download Client 


+ Upgrade to Enhanced 





ep @ Hosts By Domain 
了 S Need redundancy 


吧 ， a for your mail server? no-ip.org 


Click here for more info 





vbirdtsai.no-ip.org 140.116.44.180 
图 10.2-9、 主 机 名 处 理 完毕 与 维护 的 示意 画面 
5. 设 定 自动 更 新 主机 名 与 IP 的 对 应 


如 果 系 统 重新 启动 ， 或 者 是 重新 拨 接 取得 一 个 新 的 IP 后 ， 我 们 都 要 登入 no-ip 网 站 来 修 
改 的 话 ， 那 就 太 没有 效率 了 ! 所 以 no-ip 提供 一 个 好 用 的 客户 端 程序 给 系统 管理 员 使 

用 ， 你 可 以 在 no-ip 官网 右上 方 的 『DownloadJ」 处 选择 相关 的 档案 。 该 网 站 目前 提供 给 
Linux, Windows 与 MAC 等 系统 使 用 的 程序 ， 非 常 方便 。 我 们 当然 是 选择 Linux 那个 项 
目 啊 ! 请 自行 下 载 并 且 将 该 程序 移动 到 Linux 系统 上 吧 ! 整个 安装 与 启用 的 流程 式 这 样 
的 : 


# 1\， 编译 与 安装 : 

[root@www ~]# wget \ 

&gt; http://www.no-ip.com/client/linux/noip-duc-linux.tar.gz 
[root@www ~]# cd /usr/local/src 

[root@www src]# tar -zxvf /root/noip-duc-linux.tar.gz 


[root@www src]# cd noip-* 

# 注意 一 下 ， 这 个 目录 里 面 有 个 文件 名 为 README ,FIRST 的 档案 ， 务 必 察 看 一 下 内 容 ! 
[root@www noip]# make 

[root@www noip]# make install 

# 这 样 会 将 主 程序 安装 在 /Usr/1local/bin/noip2 而 主 参数 档 放 在 

# /Usr/local/etc/no-ip2.conf 当中 1! 然后 你 必须 要 开始 回答 一 些 问 题 : 


Please select the Internet interface from this list. 


By typing the number associated with it. 


0 etho 
1 ethi 
0 &1t;== 因 为 鸟 哥 的 主机 对 外 使 用 ethg 接口 


Please enter the login/email string for no-ip.com kiki@gmail.com 
Please enter the password for user 'kiki@gmail.com' *** 
# 上 面 这 两 个 是 你 刚刚 注册 时 所 填写 的 email 与 密码 喔 ! 


Only one host [vbirdtsai.no-ip.org] is registered to this account ， 
It will be used. 

Please enter an Update interval:[30] 

Do you wish to run something at successful update?[N] (y/N) n 


mv /tmp/no- 人 conf /usr/local/etc/no-ip2.conf 
# 重点 在 此 |! 刚刚 你 做 的 配置 文件 被 放 到 上 面 这 个 档案 中 了 |! 


这 样 就 将 你 的 no-ip 制作 完毕 ， 而 且 也 可 以 开始 来 执行 嘿 ! 执行 的 方法 也 是 很 简单 啦 ! 


# 2\，noip2 的 程序 使 用 : 

[root@www ~]# /usr/local/bin/noip2 

# 不 要 怀疑 ! 这 样 输入 后 ， 你 在 no-ip 上 面 注册 的 主机 名 ， 
# 就 开始 可 以 自动 的 产生 对 应 了 |! 就 这 么 简单 ! 


[root@www ~]# noip2 [-CS] 

选项 与 参数 : 

-C :重新 设 定 参 数 ， 亦 即 设 定 刚刚 我 们 上 面 输入 粗 体 字 的 吹 吹 ! 
如 果 你 有 两 个 以 上 的 no- 主机 名 时 ， 就 一 定 需要 使 用 noip2 -C 
来 重新 设 定 参数 档案 ! 

-S :将 目前 的 noip2 的 状况 显示 出 来 ! 


十 








[root@www ~]# noip2 -S 
1 noip2 process active. 


Process 2496, started as /usr/local/src/noip-2.1.9-1/noip2, (version 2.1.9) 
Using configuration from /usr/local/etc/no-ip2.conf 
Last IP Address set 140.116.44.180 
Account kiki@gmail.com 
configured for: 
host vbirdtsai.no-ip.org 
Updating every 30 minutes via /dev/ethe with NAT enabled. 


嘿嘿 ! 这样 就 成 功 了 |! 而且 每 30 分 钟 noip2 可 以 自动 的 去 主 网 站 上 面 进行 更 新 呢 ! 丨 是 
很 不 错 ! 那 如 果 想 要 一 开机 就 启动 noip2 呢 ? 这 样 做 即 可 : 


# 3\， 设 定 开机 局 动 : 

[root@www ~]# vim /etc/rc.d/rc.local 
# 加 入 底下 这 一 行 : 

/usr/local/bin/noip2 


10.3 重点 回顾 


e 主机 名 的 目的 在 辅助 人 们 记忆 TCP/IP 的 IP 数值 ; 

e 主机 名 与 IP 的 对 应 ， 由 早期 的 /etc/hosts 变更 为 DNS 系统 来 记录 

。 合法 的 主机 名 必须 要 透 过 合法 授权 后 ， 才 能 够 在 Internet 上 面 完 整 的 生效 

e。 除了 静态 的 主机 名 与 IP 对 应 外 ， 若 是 不 固定 IP 的 联机 模式 ， 可 以 透 过 动态 DNS 服务 ， 
来 达成 非 固定 IP 永远 指向 同一 个 主机 名 的 任务 。 


10.4 本 章 习题 


。 请 简易 说 明 /etc/hosts 的 用 途 ; 这 个 档案 是 早期 用 在 进行 主机 名 与 IP 的 解析 的 ， 目 前 比 
较 常 用 在 内 部 私有 网 域 的 名 称 解 析 上 ， 可 以 加 快 内 部 网 域 的 反 查 喔 |! 

。 请 说 明 『 合 法 授权 J 的 主机 名 需要 做 什么 ?了 如 果 想 要 合法 授权 ， 就 需要 向 上 层 DNS 主机 
『 注 册 」 才 行 ! 而 且 还 要 上 层 DNS 主机 管理 员 愿 意 将 领域 名 的 解析 权限 授权 给 你 啊 | 

。 什么 是 动态 DNS 系统 ?( 仅 说 明 client 端 ) 因 为 我 们 的 Client 拨 接 时 ， 得 到 的 IP 都 不 是 固 
定 的 ， 所 以 无 法 以 DNS 系统 进行 固定 |P 对 应 主机 名 的 工作 ! 此 时 就 需要 动态 DNS 系 
统 了 | 以 DNS 主机 提供 的 动态 更 新 主机 名 对 应 IP 的 机 制 ， 可 以 让 我 们 的 不 同 IP 对 应 到 
同一 个 主机 名 呐 ! 

。 如 果 你 使 用 adsl 拨 接 来 上 网 设 定 服务 器 ， 那 么 该 申请 哪 一 类 型 的 主机 名 ?为 什么 ? 因为 
我 是 以 ADSL 上 网 拨 接 ， 所 以 IP 是 不 国定 的 ， 此 时 需要 申请 动态 DNS 主机 的 主机 名 ， 
例如 no-ip.org 等 等 ! 


10.5 参考 数据 与 延伸 阅读 


e。 台湾 网 络 信息 中 心 : http://www.twnic.net/ 

e 国外 的 领域 名 系统 : http://www.netsol.com/ 
e 国外 的 领域 名 系统 : http://www.dotster.com/ 
。 国外 的 免费 DNS 系统 : http://www.no-ip.com 


2002/08/05 : 第 一 次 完成 日 期 ! 2003/08/26 : 修改 篇 名 、 增 加 一 no-ip 的 设 定 方式 ! 
2006/09/15 : 将 昌 的 文章 移动 到 此 处 。2011/02/09 : 将 基于 CentOS 4.x 所 写 的 文章 移动 到 
此 处 2011/02/15 : 由 于 noip 网 站 页 面 有 变更 ， 作 了 一 些 图 片 的 重新 处 理 ， 其 他 则 是 大 同 小 
异 。2011/07/23 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


第 三 部 分 : 局 域 网 络 内 第 见 的 服务 器 架设 


在 开始 实际 Linux 的 网 络 服务 器 架设 之 前 ， 切 记 前 面 两 篇 的 内 容 都 已 经 阅读 过 ， 并 且 已 经 强 
化 您 主机 的 网 络 安全 后 ， 才 开始 架设 吧 ! 老实 说 ， 台 湾 中 小 企业 非常 多 ， 企 业 人 员 常 常 需要 
共享 一 些 数据 ， 这 些 数据 当然 不 会 传送 到 因特网 上 ， 而 是 在 内 部 局 域 网 络 上 传输 的 。 因 此 ， 
局 域 网 络 内 部 的 服务 器 架设 量 可 能 比 我 们 因特网 上 面 的 服务 器 还 要 多 呢 ! 所 以 说 ， 我 们 先 来 
了 解 一 下 局 域 网 络 内 常见 的 服务 器 吧 。 

在 这 一 篇 当中 ， 我 们 主要 会 介绍 管理 服务 器 用 的 联机 服务 器 如 ssh, xdmcp, VNC, xrdp 等 服 
务 ， 然 后 针对 网 络 参数 管理 部 份 来 介绍 DHCP 服务 器 ， 在 针对 文件 服务 器 的 NFS, SAMBA 等 
服务 ， 再 介绍 与 NFS 相关 性 很 强 的 账号 同步 的 NIS 服务 器 ， 然 后 介绍 两 个 常见 的 服务 器 ， 
包括 时 间 同 步 的 NTP 与 网 络 监控 能 力 较 佳 的 Proxy 服务 器 ， 最 终 再 讲 一 个 磁盘 不 够 时 的 
iSCSI 仿 站 器 吧 ! 
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最 近 更 新 日 期 : 2011/11/24 


维护 网 络 服务 器 最 简单 的 方式 不 是 跑 去 实体 服务 器 前 面 登 入 ， 而 是 透 过 远程 联机 服务 器 联机 
功能 来 登入 主机 ， 然后 再 来 进行 其 他 有 的 没 的 维护 就 是 了 。Linux 主机 几乎 都 会 提供 sshd 这 
个 联机 服务 ， 而 且 这 个 服务 还 是 主动 进行 数据 加 密 的 | 讯息 在 网 络 上 面 跑 安 全 多 了 。 同 时 我 
们 还 能 透 过 rsync 这 个 指令 以 sshd 信道 来 达成 异地 数据 备 援 的 功能 哩 1 相当 不 赖 。 如果 想 要 
利用 图 形 接 口 登 入 ， 那 么 默认 的 Xdmcp 配合 VNC 就 能 够 使 用 图 形 接口 在 网 络 的 另 一 端 登 入 
你 的 服务 器 ! 如 果 你 习惯 使 用 Windows 的 远程 桌面 ， 那 么 XRDP 也 不 要 放 过 嘿 | 
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e。 11.2 文字 接口 联机 服务 器 : SSH 服务 器 
o 11.2.1 联机 加 密 技 术 简 介 : 产生 新 的 公 铀 
o 11.2.2 启动 ssh 服务 
o 11.2.3 ssh 客户 端 联机 程序 - Linux 用 户 : ssh, ~/.ssh/known_hosts, sftp, scp 
o 11.2.4 ssh 客户 端 联机 程序 - Windows 用 户 : pietty, psftp, filezilla 
o 11.2.5 sshd 服务 器 细部 设 定 
o 11.2.6 制作 不 用 密码 可 立即 登入 的 ssh 用 户 : ssh-keygen 
o 11.2.7 简易 安全 设 定 
11.3 最 原始 图 形 接口 : Xdmcp 服务 的 启用 
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o 11.3.2 设 定 gdm 的 XDMCP 服务 
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o 11.3.4 用 户 系统 为 Windows 的 登入 方式 : Xming 
e 11.4 华丽 的 图 形 接口 : VNC 服务 器 
o 11.4.1 预 设 的 VNC 服务 器 : 使 用 twm window manager : vncserver, vncpasswd 
o 11.4.2 VNC 的 客户 端 联 机 软件 : vncviewer, realvnc 
o 11.4.3 VNC 搭配 本 机 的 Xdmcp 画面 
o 11.4.4 开机 就 启动 VNC server 的 方法 
o 11.4.5 同步 的 VNC : 可 以 透 过 图 示 同 步 教学 
11.5 仿 申 的 远程 束 面 系统 : XRDP 服务 器 
11.6 SSH 服务 器 的 进 阶 应 用 
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o 11.6.4 以 ssh 信道 配合 X server 传递 图 形 接口 
e 11.7 重点 回顾 
e 11.8 课 后 练习 
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11.1 远程 联机 服务 器 


远程 联机 服务 器 对 我 们 来 说 ， 可 是 一 项 很 有 用 的 工具 啊 ! 他 可 以 让 我 们 更 方便 的 管理 主机 。 
不 过 ， 方 便 归 方便 ， 但 开放 全 世界 都 可 以 党 试 登入 你 的 主机 并 不 个 好 主意 ， 因 为 可 能 会 有 安 
全 性 的 问题 呐 ! 所 以 本 章 才 要 特别 强调 一 下 这 个 玩意 儿 啊 | 


11.1.1 什么 是 远程 联机 服务 器 


首先 ， 我 们 来 了 解 一 下 ， 什 么 是 『 远 程 联机 服务 器 」? 这 个 东西 的 功能 为 何 ? 我 想 ， 你 应 该 
已 经 听 过 ， 一 部 开放 到 因特网 上 的 服务 器 ， 基 本 上 ， 它 可 以 不 需要 屏幕 、 键 盘 、 和 鼠标 等 等 的 
周边 配备 ， 只 要 有 基本 的 主板 、CPU、RAM、 硬 盘 再 加 上 一 块 好 一 点 的 网 络 卡 ， 并 且 连 上 因 
特 网 ， 那 这 部 主机 就 能 够 提供 你 有 需要 的 网 络 服务 了 。 但 如 果 你 需要 重新 设 定 这 部 主机 ， 该 
如 何 登 入 主机 取得 类 似 bash 的 接口 来 操纵 与 进行 修改 呢 ? 那 就 得 要 透 过 联机 服务 器 的 服务 
了 。 


是 的 ! 你 猜 对 啦 ， 远 程 联机 服务 器 在 提供 你 由 远程 透 过 文字 或 图 形 接口 的 方式 来 登入 系统 ， 

让 你 在 远程 的 工作 机 前 面 登入 Linux 主机 以 取得 可 操控 主机 之 接口 (Shel， 而 登入 后 的 操作 
感觉 上 就 像 坐 在 系统 前 面 一 样 ! 所 以 啦 ， 你 当然 不 需要 远程 网 络 服 务 器 的 键盘 、 和 所 标 、 屏 幕 
等 等 。 你 只 要 工作 机 可 以 正常 联机 到 远程 主机 即 可 啊 。 


以 鸟 哥 个 人 为 例 ， 目 前 鸟 哥 管理 十 几 部 的 Unix-Like 主机 ， 这 些 主机 都 不 放 在 同一 个 地 方 ， 分 
布 在 南台 湾 各 处 ! 那么 当 有 新 的 软件 的 漏洞 被 发 布 ， 或 者 是 需要 进行 一 些 额外 的 设 定 的 时 

候 ， 是 否 岛 哥 本 人 一 定 要 到 现场 吗 ? 当然 不 需要 ， 只 要 透 过 网 络 联机 到 该 主机 上 面 ， 就 可 以 

进行 任何 工作 了 ! 站 的 就 好 像 在 主机 前 面 工作 一 般 的 轻松 愉快 |! ^^! 这 就 是 远程 联机 服务 器 
啦 | 

Tips: 很 多 人 会 说 ， 我 用 FTP 也 要 输入 账号 密码 来 登入 啊 ? 那 与 这 个 章节 谈 到 的 登入 有 何不 


同 ? 最 大 的 不 同 在 于 取得 的 shell 能 进行 的 工作 啦 ! 用 ssh/telnet/VNC 等 方式 取得 的 文字 或 图 
形 shell 能 够 进行 很 多 系统 管理 的 任务 ， 与 单纯 的 FTP 能 进行 的 工作 当然 不 同 ! 





e 联机 服务 器 的 功能 作用 之 一 : 分 享 Unix Like 主机 的 运算 能 力 

当 你 的 工作 需要 使 用 到 Linux 强大 的 程序 语言 编译 功能 时 ， 那 么 你 一 定 需 要 Linux 对 吧 ! 而 且 
最 好 是 指令 周期 快 一 点 的 主机 ， 这 个 时 候 你 可 以 将 你 研究 室 最 快 的 那 一 部 主机 开放 出 来 ， 设 
定 一 下 远程 联机 服务 器 ， 让 你 的 学 生 啦 ， 或 者 是 研究 室 的 同仁 啦 ， 可 以 透 过 这 部 机 器 帮 他 们 


行 研究 的 工作 ， 这 个 时 候 ， 你 的 主机 就 可 以 让 多 人 进行 分 享 Linux 运算 的 功能 啦 ! 


进 

举例 来 说 ， 鸟 哥 与 昆山 还 有 长 荣 大 学 的 老师 、 同 学 们 组 建 了 一 组 服务 器 等 级 的 从 集 架构 计算 

机 (PC cluster) ， 目 前 我 们 在 该 计算 机 上 面 跑 MM5 、Models3 等 大 气 与 空气 质量 模式 ， 要 在 
这 样 的 架构 底下 跑 数值 模式 的 原因 ， 主要 就 是 考虑 运算 能 力 。 那 会 使 用 到 该 组 计算 机 的 有 好 
多 人 ， 难 道 大 家 都 在 挤 在 一 部 屏幕 前 面 工作 ? 当然 不 需要 啦 ! 这 时 候 就 是 远程 联机 服务 器 的 
服务 范围 嘿 ! 


但 是 否 每 一 部 连 到 Internet 上 面 的 主机 都 应 该 要 开放 远程 联机 的 功能 呢 ? 其 实 并 不 尽 然 ， 还 
是 需要 针对 你 的 主机 来 进行 规划 的 ， 我 们 底下 分 服务 器 与 工作 站 来 说 明 : 


e。 服务 器 类 型 (Server) : 有 限度 的 开放 联机 


在 一 般 对 因特网 开放 服务 的 服务 器 中 ， 由 于 开放 的 服务 可 能 会 有 较为 重要 的 信息 ， 而 远程 联 
机 程序 连 进 主 机 之 后 ， 可 以 进行 的 工作 又 太 多 了 (几乎 就 像 在 主机 前 面 工 作 一 般 ! )， 因 此 服 
务 器 的 远程 联机 程序 通常 仅 针 对 少 部 分 系统 维护 者 开放 而 已 | 除非 人 必要， 否则 Server 类 型 的 
主机 还 站 的 不 建议 开放 联机 的 服务 呢 ! 


以 岛 哥 为 例 ， 我 的 主机 提供 了 我 们 研究 室 使 用 Mail 与 Internet 上 面 的 WWW 服务 ， 如 果 还 主 
动 提 供 远 程 联 机 的 话 ， 那 么 万 一 不 小 心 被 入 侵 ， 那 可 就 伤 脑筋 了 1 因此 ， 鸟 哥 仅 开放 『 很 小 
部 分 的 网 域 」 让 系统 管理 员 连 进来 ， 其 他 来 源 的 IP 一 律 抵挡 ! 不 许 使 用 远程 联机 的 功能 呢 ! 


。 工作 站 类 型 (Workstation) : 只 对 内 网 开放 


所 谓 的 工作 站 就 是 不 提供 因特网 服务 的 主机 ， 仅 提供 大 量 的 运算 能 力 给 使 用 者 。 既然 不 提供 
因特网 的 服务 ， 那 你 还 开 联机 服务 器 干 嘛 ? 不 是 啦 | 像 前 面 岛 哥 提 到 的 PC cluster 大 量 运 算 
的 整 组 计算 机 ， 也 可 以 称 之 为 工作 站 ， 因 为 它 没有 提供 常见 的 网 络 服务 嘛 ! 不 过 必须 要 提供 
给 使 用 者 登入 的 权限 ， 这 样 大 家 才 用 的 到 运算 功能 啊 ! 此 时 你 就 得 要 针对 内 部 ， 或 者 是 特定 
的 某 些 来 源 开放 他 们 使 用 你 的 工作 站 嘿 ! 


11.1.2 有 哪些 可 供 登 入 的 类 型 ? 


那么 目前 远程 联机 服务 器 的 主要 类 型 有 哪些 ? 如 果 以 登入 的 联机 界面 来 分 类 ， 基 本 上 有 文字 
接口 与 图 形 接口 两 种 : 


。 文字 接口 明码 : telnet, rsh 等 为 主 ， 目 前 非常 少 用 ; 
@ 文字 接口 密码 : ssh 为 主 ， 已 经 取代 上 述 的 telnet, rsh 等 明码 方式 ; 
。 图 形 接口 : Xdmcp, VNC, RDP 等 较为 常见 


在 文字 接口 登入 的 联机 服务 器 ， 主 要 有 以 『 明 码 J」 传送 数据 的 telnet 服务 器 ， 及 以 加 密 技 术 

进行 数据 加 密 再 传送 的 SSH 服务 器 ! 虽然 telnet 可 以 支持 的 客户 端 软件 比较 多 ， 不 过 由 于 它 
是 使 用 明码 来 传送 数据 ， 你 的 数据 很 容易 遭 到 有 心 人 士 的 揪 取 ! 所 以 近来 我 们 都 呼吁 大 家 多 

使 用 SSH 这 一 种 联机 方式 


至 于 图 形 接口 的 联机 服务 器 ， 比 较 简 单 的 有 Xdmcp (X Display Manager Control Protocol) ， 
架设 Xdmcp 很 简单 ， 不 过 客户 端的 软件 比较 少 。 另 外 一 款 目 前 很 常见 的 图 形 联机 服务 器 ， 
就 是 VNC (Virtual Network Computing) ， 透 过 VNC server/client 软件 来 进行 连接 。 如 果 你 想 
要 使 用 类 似 Windows 的 远程 桌面 联机 ， 该 功能 使 用 的 是 RDP (Remote Desktop Protocol) ， 
那 你 可 得 要 架设 RDP 服务 器 才 行 。 


Tips: 图 形 接口 最 大 的 优点 是 了 图 形 」 啊 | 不过， 因为 是 透 过 图 形 来 传送 ， 传 输 的 数据 量 相当 
的 大 ， 所 以 速度 与 安全 性 都 有 待考 虑 。 因 此 ， 我 们 仅 建 议 你 将 图 形 接口 的 远程 登录 服务 器 开 
放 在 内 部 网 域 (LAN) 就 好 了 ! 


e 数据 传送 的 明码 与 密码 


什么 是 『 明 码 J」 与 『 加 密 」 的 数据 封包 传送 模式 呢 ? 为 什么 telnet 使 用 明码 就 比较 不 安全 ? 

所 谓 的 明码 就 是 : 『 当 我 们 的 数据 封包 在 网 络 上 传输 时 ， 该 数据 封包 的 内 容 为 数据 的 原始 格 
式 〗， 也 就 是 说 ， 你 使 用 telnet 登入 远程 主机 时 ， 不 是 得 要 输入 账号 密码 吗 ? 那 你 的 账号 密 
码 是 以 原本 的 数据 格式 传输 ， 所 以 如 果 被 类 似 tcpdump 之 类 的 监听 软件 括 取 数据 ， 那 你 的 

帐 密 就 有 可 能 被 窃取 啦 ! 


所 以 啦 ， 万 一 你 的 数据 封包 里 面 含 有 信用 卡 数 据 、 密 码 、 身 份 确认 等 重要 信息 时 ， 是 否 很 危 
险 呐 ? 因此 ， 目 前 我 们 通常 都 希望 使 用 可 以 将 这 些 在 网 络 上 面 跑 的 数据 加 密 的 技术 ， 以 增加 
数据 在 Internet 上 面 传 送 的 安全 性 啊 ! 


Tips: 说 ssh 比较 安全 ， 其 实 是 透 过 ssh 信道 传输 讯息 时 ， 该 讯息 在 网 络 上 面 比 较 安 全 ， 因 为 
数据 是 加 密 过 的 ， 即 使 被 窃取 ， 对 方 可 能 也 不 会 知道 数据 内 容 为 何 ， 因 此 信息 比较 安全 。 但 
这 不 代表 ssh 这 个 通讯 协议 就 比较 安全 喔 ! 两 者 意义 不 同 | 


由 于 明码 传输 的 telnet, rsh 等 联机 服务 器 已 经 被 ssh 取代 ， 并 且 在 一 些 实际 应 用 上 已 经 很 少 
看 到 telnet 与 rsh 了 ， 因 此 本 章 在 文字 接口 上 着 重 于 介绍 ssh 的 应 用 ， 包 括 以 rsync 藉 由 
ssh 通道 来 进行 异地 备 援 的 任务 等 等 。 至 于 图 形 接口 则 会 介绍 Xdmcp, VNC 与 RDP 哩 ! 因为 
很 多 工作 站 用 户 需 要 显示 他 们 在 工作 站 实 作 后 的 图 形 呈 现 ， 因 此 这 部 分 也 是 很 重要 的 呢 ! 


11.2 文字 接口 联机 服务 器 : SSH 服务 响 


由 于 先前 的 远程 联机 服务 器 大 多 是 明码 ， 而 且 协 议 也 有 些 资 安 问题 ， 因 此 后 来 就 有 SSH 这 个 
协议 来 取代 上 述 这 些 吹 吹 。 那么 SSH 是 什么 呢 ? 它 有 什么 特异 功能 ? 简单 的 来 说 ，SSH 是 
Secure SHell protocol 的 简写 (安全 的 党 程序 协议 )， 它 可 以 透 过 数据 封包 加 密 技 术 ， 将 等 待 传 
输 的 封包 加 密 后 再 传输 到 网 络 上 ， 因 此， 数据 讯息 当然 就 比较 安全 嘿 1 这 个 SSH 可 以 用 来 取 
代 较 不 安全 的 finger, R Shell (rcp, rlogin, rsh 等 ), talk 及 telnet 等 联机 模式 。 底 下 我 们 将 先 简 
介 一 下 SSH 的 联机 模式 ， 来 说 明 为 什么 SSH 的 数据 讯息 会 比较 安全 呢 ! 


特别 注意 : 这 个 SSH 协议 ， 在 预 设 的 状态 中 ， 本 身 就 提供 两 个 服务 器 功能 : 


1， 一 个 就 是 类 似 telnet 的 远程 联机 使 用 shell 的 服务 器 ， 亦 即 是 俗称 的 ssh ; 
2， 另 一 个 就 是 类 似 FTP 服务 的 sftp-server ! 提供 更 安全 的 FTP 服务 。 


11.2.1 联机 加 密 技 术 简 介 


什么 是 『 数 据 加 密 」 呢 ? 简单 的 说 ， 就 是 将 人 们 看 的 懂得 原始 电子 数据 ， 经 过 一 些 运算 ， 让 
这 些 数 据 变 成 没有 意义 的 乱码 (至 少 对 人 类 来 说 )， 然 后 再 让 这 个 噬 吃 在 网 络 上 面 传输 ， 而 当 

用 户 想 要 查阅 这 个 数据 时 ， 再 透 过 解密 运算 ， 将 这 些 噬 吃 反 推 出 原始 的 电子 数据 。 由 于 这 些 
数据 已 经 被 重新 处 理 过 ， 所 以 ， 即 使 数据 在 因特网 上 被 cracker 监听 而 窃取 ， 他 们 也 不 容易 就 
推算 得 出 来 原始 资料 内 容 的 。 


Tips: 乌 哥 常常 说 ， 加 密 机 制 有 点 像 是 两 个 人 之 间 的 火星 语 对 话 啦 ! 如 果 你 跟 你 的 朋友 约定 好 
使 用 你 们 制订 的 某 种 特别 语言 ， 这 个 语言 只 对 你 们 两 个 有 意义 。 那 么 当 你 们 两 人 讲话 时 ， 在 
旁边 的 人 听 到 的 只 是 一 堆 没 有 意义 的 声音 ， 因 为 他 们 听 不 懂 啊 ! 即使 路 人 将 你 的 声音 录 下 
来 ， 只 要 他 不 知道 你 们 的 特殊 用 语 ， 那 他 就 不 可 能 了 解 你 们 对 话 的 内 容 鹃 。 


加 解密 运算 的 机 制 与 技术 非常 多 ， 我 们 这 里 不 去 讨论 复杂 的 理论 问题 ， 只 谈 对 我 们 比较 有 关 
的 一 些 加 解密 概念 而 已 。 目前 常见 的 网 络 封 包 加 蜜 技术 通 常 是 夭 由 所 谓 的 『 非 对 称 密 钥 系 
统 」 来 处 理 的 。 主要 是 透 过 两 把 不 一 样 的 公 铀 与 私 钥 (Public and Private Key) 来 进行 加 密 与 
解密 的 过 程 。 由 于 这 两 把 钥匙 是 提供 加 解密 的 功用 ， 所 以 在 同一 个 方向 的 联机 中 ， 这 两 把 钠 
匙 当然 是 需要 成 对 的 ! 它 的 功用 分 别 如 下 : 


。 公 铀 (public key) : 提供 给 远程 主机 进行 数据 加 密 的 行为 ， 也 就 是 说 ， 大 家 都 能 取得 你 的 
公 钥 来 将 数据 加 窗 的 意思 : 


。 私 乌 (private key) : 远程 主机 使 用 你 的 公 乌 加 密 的 数据 ， 在 本 地 端 就 能 够 使 用 私 钥 来 进行 
解密 。 由 于 私 钥 是 这 么 的 重要 ， 因 此 私 钥 是 不 能 够 外 流 的 | 只 能 保护 在 自己 的 主机 上 。 


由 于 每 部 主机 都 应 该 有 自己 的 密 钥 ( 公 钥 与 私 钥 )， 且 公 钥 用 来 加 密 而 私 钥 用 来 解密 ， 其 中 和 私 
钥 不 可 外 流 。 但 因为 网 络 联机 是 双向 的 ， 所 以 ， 每 个 人 应 该 都 要 有 对 方 的 『 公 钥 上 4 才 对 1 那 
如 果 以 ssh 这 个 通讯 协议 来 说 ， 在 客户 端 与 服务 器 端的 相对 联机 方向 上 ， 应 该 有 如 下 的 加 审 
动作 : 


ow . er 
容 户 漠 的 公 加 : 客户 庙 的 私 铀 


11.2-1、 公 乌 与 私 钥 在 进行 数据 传输 时 的 角色 示意 图 





如 上 图 所 示 ， 我 们 如 果 站 在 客户 端的 角度 来 看 ， 那 么 ， 首 先 你 必须 要 取得 服务 器 端的 公 铀 ， 
然后 将 自己 的 公 角 发送 给 服务 器 端 ， 最 终 在 客户 端 上 面 的 密 钥 会 是 『 服 务 器 的 公 钥 加 上 客户 
端 我 自己 的 私 钥 」 来 组 成 的 。 

Tips: 数据 加 密 的 技术 申 的 相当 的 多 ， 也 各 有 其 优 缺 点 ， 有 的 指令 周期 快 ， 但 是 不 够 安全 ; 有 
的 够 安全 ， 但 是 加 密 / 解 密 的 速度 较 慢 ~- 目前 在 SSH 使 用 上 ， 主 要 是 利用 RSA/DSA/Diffie- 
Hellman 等 机 制 吕 ! 


目前 SSH 的 协议 版 本 有 两 种 ， 分 别 是 version 1 与 version 2 ， 其 中 V2 由 于 加 上 了 联机 检测 
的 机 制 ， 可 以 避免 联机 期 间 被 插入 恶意 的 攻击 码 ， 因 此 上 比 V1 还 要 更 加 的 安全 。 所 以 嚼 ， 请 
尽量 使 用 V2 版 本 即 可 ， 不 要 使 用 V1 嚼 。 无 论 是 哪 种 版 本 ， 都 还 是 需要 公私 钥 加 密 系 统 的 ， 
那么 这 些 公 钥 与 私 钥 是 如 何 产生 的 呢 ? 底下 我 们 就 来 谈 一 谈 啦 ! 

e。 SSH 的 联机 行为 简介 


我 们 可 以 将 ssh 服务 器 端 与 客户 端的 联机 步骤 示意 为 下 图 ， 至 于 步骤 说 明 如 后 : 






ew ~ 


第 一 次 启动 sshd 时 ， 自 动 运 算 “将 服务 器 公私 钥 数据 记录 于 


J 1.ssh/known_ hosts 
Sr 。 并 开始 运算 用 户 成 对 的 公私 钥 数 据 图 11 2.2 、ssh 服务 器 端 与 


它 





客户 端的 联机 步骤 示意 图 


1， 服务 器 建立 公 铀 档 : 每 一 次 启动 sshd 服务 时 ， 该 服务 会 主动 去 找 /etc/ssh/ssh_host* 
档案 ， 若 系统 刚刚 安装 完成 时 ， 由 于 没有 这 些 公 负 档案 ， 因 此 sshd 会 主动 去 计算 出 这 
需要 的 公 角 档案， 同时 也 会 计算 出 服务 器 自己 需要 的 私 钥 档 ; 


2， 容 户 庙 主动 联机 要 求 ; 若 客户 端 起 要 联机 到 ssh 服务 器 ， 则 需要 使 用 适当 的 客户 端 程序 
来 联机 ， 和 包括 ssh, pietty 等 客户 端 程序 ; 


3. 服务 器 传送 公 负 档 给 客户 端 : 接收 到 客户 端的 要 求 后 ， 服 务 器 便 将 第 一 个 步骤 取得 的 公 
铀 档案 传送 给 客户 端 使 用 (此 时 应 是 明码 传送 ， 反 正 公 钢 本 来 就 是 给 大 家 使 用 的 1 ) ; 


4.， 客户 端 记录 / 比 对 服务 器 的 公 钥 数据 及 随机 计算 自己 的 公私 钥 : 若 客户 端 第 一 次 连接 到 此 
服务 器 ， 则 会 将 服务 器 的 公 角 数据 记录 到 客户 端的 用 户 家 目录 内 的 ~/.ssh/known_hosts 
。 若 是 已 经 记录 过 该 服务 器 的 公 钥 数据 ， 则 客户 端 会 去 比 对 此 次 接收 到 的 与 之 前 的 记录 
是 否 有 差异 。 若 接受 此 公 钥 数据 ， 则 开始 计算 客户 端 自己 的 公私 钥 数 据 ; 


5， 回 传 客户 端的 公 铀 数据 到 服务 器 端 : 用 户 将 自己 的 公 铀 传送 给 服务 器 。 此 时 服务 器 : 
『 具 有 服务 器 的 私 钥 与 客户 端的 公 钥 」， 而 客户 端 则 是 : ee 以 及 客户 
端 自己 的 私 钥 」， 你 会 看 到 ， 在 此 次 联机 的 服务 器 与 客户 端的 蜜 钥 系统 ( 公 铀 + 私 钥 ) 并 不 
一 样 ， 所 以 才 称 为 非 对 称 式 密 钥 系统 喔 。 


6. 开始 双向 加 解密 : (1) 服 务 器 到 客户 端 : 服务 器 传送 数据 时 ， 拿 用 户 的 公 角 加 密 后 送出 
本 汐 接 和 计时 个 目 蕊 的 各 全 前 (2) 客 户 端 到 服务 器 : 客户 端 传送 数据 时 ， 拿 服务 器 
的 公 角 加密 后 送出 。 服 务 器 接收 后 ， 用 服务 器 的 私 钥 解密 。 


0° 


在 上 述 的 第 4 步骤 中 ， 客 户 端的 密 钥 是 随机 运算 产生 于 本 次 联机 当中 的 ， 所 以 你 这 次 的 联机 
与 下 次 的 联机 的 密 钥 可 能 就 会 不 一 样 啦 ! 此 外 在 客户 端的 用 户 家 目录 下 的 
~/.ssh/known_hosts 会 记录 曾经 联机 过 的 主机 的 public key ， 用 以 确认 我 们 是 连接 上 正确 的 
那 部 服务 器 。 


例题 : 如 何 产 生 新 的 服务 器 端的 ssh 公 负 与 服务 器 自己 使 用 的 成 对 私 钥 ? ( 注 : 注意 ， 本 例题 
不 要 在 已 经 正常 运作 的 网 络 服务 器 上 面 ， 因 为 可 能 会 造成 其 他 客户 端的 困扰 ! ) 答 : 由 于 服务 
器 提供 的 公 钥 与 自己 的 私 钥 都 放置 于 /etc/ssh/ssh_host* ， 因 此 你 可 以 这 样 做 : 


[root@www ~]# rm /etc/ssh/ssh_host*  &Lt;== 删 除 密 钥 档 
[root@www ~]# /etc/init.d/sshd restart 


正在 停止 sshd: [ 确定 

正在 产生 SSH1 RSA 主机 密 钥 : [ 确定 ] &lLt;== 底 下 三 个 步骤 重新 产生 密 钥 ! 
正在 产生 SSH2 RSA 主机 密 钥 : [ 确定 ] 

正在 产生 SSH2 DSA 主机 密 钥 : [ 确定 ] 

正在 激活 sshd : [ 确定 ] 


[root@www ~]# date; 11 /etc/ssh/ssh_ host* 
Mon Jul 25 11:36:12 CST 2011 


-rw------- . 1 root root 668 Jul 25 11:35 /etc/ssh/ssh_host_dsa_key 
-rw-r--r--. 1 root root 590 Jul 25 11:35 /etc/ssh/ssh_host_dsa_key.pub 
-rw------- . 1 root root 963 Jul 25 11:35 /etc/ssh/ssh_host_key 
-rw-r--r--. 1 root root 627 Jul 25 11:35 /etc/ssh/ssh_host_key.pub 
-rw------- . 1 root root 1675 Jul 25 11:35 /etc/ssh/ssh_host_rsa_key 
-rw-r--r--. 1 root root 382 Jul 25 11:35 /etc/ssh/ssh_ 1 rsa_key.pub 
# 看 一 下 上 面 输出 的 日 期 与 档案 的 建立 时 间 ， 刚 刚 建 立 的 新 公 钥 、 私 钥 系统 


11.2.2 司 动 SSH 服务 


事实 上 ， 在 我 们 使 用 的 Linux 系统 当中 ， 默 认 就 已 经 含有 SSH 的 所 有 需要 的 软件 了 |! 这 包含 
了 可 以 产生 密码 等 协议 的 OpenSSL 软件 与 OpenSSH 软件 ( 注 1)， 所 以 呢 ， 要 启动 SSH 站 
的 是 太 简单 了 ! 就 直接 给 他 启动 就 是 了 ! 此 外 ， 在 目前 的 Linux Distributions 当中 ， 都 是 预 设 
启动 SSH 的 ， 所 以 一 点 都 不 麻烦 ， 因 为 不 用 去 设 定 ， 他 就 已 经 启动 了 1 哇 1 上 缆 是 爽快 一 无 论 
如 何 ， 我 们 还 是 得 说 一 说 这 个 启动 的 方式 吧 | 直接 启动 就 是 以 SSH daemon ， 简 称 为 sshd 
来 启动 的 ， 所 以 ， 手 动 可 以 这 样 启 动 : 


[root@www ~]# /etc/init.d/sshd restart 

[root@www ~]# netstat -tlnp &#124; grep ssh 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 9 2:22 0 LISTEN 1539/sshd 


需要 注意 的 是 ，SSH 不 但 提供 了 shell 给 我 们 使 用 ， 亦 即 是 ssh protocol 的 主要 目的 ， 同 时 亦 
提供 了 一 个 较为 安全 的 FTP server ， 亦 即 是 ssh-ftp server 给 我 们 当成 是 FTP 来 使 用 ! 所 
以 ， 这 个 sshd en shell 与 ftp 吕 ! 而 且 都 是 架构 在 port 22 上 面 的 呢 1 所 以 ， 底 下 
我 们 就 来 提 一 提 ， 那 么 怎么 样 由 Client 端 连接 上 Server 端 呢 ? 同时 ， 如 何以 FTP 的 服务 来 
连接 上 Server 并 且 使 用 FTP 的 功能 呢 ? 


11.2.3 ssh 客户 端 联机 程序 - Linux 用 户 


如 果 你 的 客户 端 是 Linux 的 话 ， 那 么 a ng 
指令 ， 可 以 不 必 安 装 额 外 的 软件 喔 ! 底下 就 来 介绍 一 下 这 些 指令 吧 | 


e@ ssh : 直接 登入 远程 主机 的 指令 


SSH 在 client 端 使 用 的 是 ssh 这 个 指令 ， 这 个 指令 可 以 指定 联机 的 版 本 (version1， 
Version2) ， 还 可 以 指定 非 正规 的 ssh port (正规 ssh port 为 22)。 不 过 ， 一 般 的 用 法 可 以 使 用 
底下 的 方式 : 


[root@www ~]# ssh [-f] [-o 参数 项 目 ] [-p 非 正规 埠 口 ] [账号 @]IP [指令 ] 

选项 与 参数 : 

-f : 需要 配合 后 面 的 [指令 ] ， 不 登入 远程 主机 直接 发 送 一 个 指令 过 去 而 已 ; 

-0 参数 项 目 : 主要 的 参数 项 目 有 : 
ConnectTimeout= 秒 数 : 联机 等 待 的 秒 数 ， 减 少 等 待 的 时 间 
StrictHostKeyChecking=[yes&#124;no&#124;ask] : 预 设 是 ask， 若 要 让 public key 

主动 加 入 known_hosts ， 则 可 以 设 定 为 no 即 可 。 
-Pp : 如果 你 的 sshd 服务 启动 在 非 正规 的 堆 口 (22)， 需 使 用 此 项 目 ; 
[指令 ] : 不 登入 远程 主机 ， 直 接 发 送 指令 过 去 。 但 与 -f 意义 不 太 相 同 。 


# 1\， 直接 联机 登入 到 对 方 主机 的 方法 (以 登入 本 机 为 例 ) : 

[root@www ~]# ssh 127.0.0.1 

The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. 
RSA key fingerprint Is eb:12:07:84:b9:3b:3f:e4:ad:ba:f1:85:41:fc:18:3b. 
Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '127.0.0.1' (RSA) to the list of known hosts. 
root@127.0.0.1's password: &lLt;== 在 这 里 输入 root 的 密码 即 可 | 

Last login: Mon Jul 25 11:36:06 2011 from 192.168.1.101 

[root@www ~]# exit &lt;== 离 开 这 次 的 ssh 联机 

# 由 于 ssh 后 面 没 有 加 上 账号 ， 因 此 预 设 使 用 当前 的 账号 来 登入 远程 服务 器 


一 般 使 用 ssh 登入 远程 主机 ， 都 会 填写 『 ssh 账号 @ 主 机 IP 」 的 格式 ， 意 思 是 说 ， 使 用 该 主 
机 的 某 账号 登入 的 意思 。 但 是 很 多 朋友 都 不 喜欢 写 账 号 ， 亦 即使 用 『 ssh 主机 IP J 的 格式 。 
如 同上 面 的 范例 情况 。 要 注意 喔 ， 如 果 不 写 账 号 的 话 ， 那 么 会 以 本 地 端 计 算 机 的 账号 来 尝试 
登入 远程 。 也 就 是 说 ， 如 果 近 端 与 远程 具有 相同 的 账号 ， 那 么 不 写 账号 也 没有 关系 ， 如 上 表 
中 的 范例 。 但 是 ， 为 了 以 后 习惯 着 想 ， 还 是 一 开始 就 使 用 类 似 email 的 方式 来 登入 远程 主 

机 ， 这 样 的 行为 习惯 比较 好 啦 ! 


上 面 出 现 的 讯息 中 ， 开 头 RSA 的 那 行 后 面 接 的 就 是 远程 服务 器 的 公 钥 指纹 码 ， 如 果 确 定 该 指 
纹 码 没有 问题 ， 那 么 你 就 得 要 输入 yes 来 将 该 指纹 码 写 入 服务 器 公 钥 记录 文件 
(~/.ssh/known_hosts)， 以 方便 未 来 比 对 该 服务 器 的 正确 性 之 用 。 注意 是 要 写 yes 喔 ， 单 纯 输 
入 站 或 y 是 不 会 被 接受 的 ~ 此外， 由 于 该 主机 的 公 钥 已 经 被 记录 ， 因 此 未 来 重复 使 用 ssh 登 
入 此 主机 时 ， 就 不 会 出 现 这 个 指纹 码 提示 了 。 


# 2\， 使 用 student 账号 登入 本 机 

[root@www ~]# ssh student@127.0.0.1 

student@127.0.0.1's password: 

[student@www ~]$ exit 

# 由 于 加 入 账号 ， 因 此 切换 身份 成 为 student 了 1 另外 ， 因 为 127.0.0.1 曾 登 入 过 ， 
# 所 以 就 不 会 再 出 现 提示 你 要 增加 主机 公 角 的 讯息 嘿 ! 


# 3\， 登入 对 方 主机 执行 过 指令 后 立刻 离开 的 方式 : 

[root@www ~]# ssh student@127.0.0.1 find / &&gt; ~/find1.1og 
student@localhost's password: 

# 此 时 你 会 发 现 怎 么 画面 卡 住 了 ?这 是 因为 上 头 的 指令 会 造成 ， 你 已 经 登入 远程 主机 ， 
# 但 是 执行 的 指令 尚未 跑 完 ， 因 此 你 会 在 等 待 当 中 。 那 如 何 指定 系统 自己 跑 ? 


立刻 回 到 近 端 主机 继续 工作 : 
nd / &&gt; ~/find1.1og 
自己 在 远程 服务 器 跑 喔 ! 


# 4\， 与 上 题 相同 ， 但 是 让 对 方 主机 自己 跑 该 指令 ， 你 
[root@www ~]# ssh -f student@127.0.0.1 fi 
# 此 时 你 会 立刻 注销 127.0.0.,1 ， 但 find 指令 会 


上 述 的 范例 当中 ， 第 4 个 范例 最 有 用 ! 如 果 你 想 要 让 远 有 如 果 不 加 上 - 
f 的 参数 ， 那 你 会 等 待 对 方 主机 关机 完毕 再 将 你 踢 出 联机 ， 这 比较 不 合理 。 因 此 ， 加 上 -就 
很 重要 一 因为 你 会 指定 远程 主机 自己 跑 关 机 ， 而 不 需要 在 空空 等 待 。 例 如 : 『ssh -f 
root@some IP shutdown -h now J 之 类 的 指令 喝 。 


# 5\， 删除 掉 known_hosts 后 ， 重 新 使 用 root 联机 到 本 机 ， 且 自动 加 上 公 铀 记录 
[root@www ~]# rm ~/.ssh/known_hosts 

[root@www ~]# ssh -o StrictHostKeyChecking=no root@localhost 

Warning: Permanently added 'localhost' (RSA) to the list of known hosts. 
root@localhost's password: 

# 如 上 所 示 ， 不 会 问 你 yes 或 no 啦 1 直接 会 写 入 ~/ .ssh/known_hosts 当中 ! 


鸟 哥 上 课 常 常 使 用 ssh 联机 到 同学 的 计算 机 去 看 他 有 没有 出 错 ， 有 时 候 会 写 Script 来 进行 答 
案 侦 测 。 此 时 如 果 每 台 计 算 机 都 在 主动 加 上 公 铀 文件 记录 ， 都 得 要 输入 『 yes 上 ， 会 累 死 ! 
那么 加 上 这 个 StrictHostKeyChecking=no 就 很 有 帮助 啦 ! 问 自动 加 入 主机 的 公 铀 到 
档案 中 ， 对 于 一 般 使 用 者 帮助 不 大 ， 对 于 程序 脚本 来 说 ， 这 玩意 儿 可 就 很 不 错 用 了 | 


e 服务 器 公 角 记录 文件 : ~/.ssh/known_hosts 


当 你 登入 远程 服务 器 时 ， a ee Se 务 器 的 public key 去 比 对 
~/.ssh/known_hosts 有 无 相关 的 公 钥 ， 然 后进 的 动作 : 


e。 若 接 收 的 公 角 尚未 记录 ， 则 询问 用 户 是 否 记 录 。 若 要 记录 (范例 中 回答 yes 的 那个 步骤 ) 
则 写 入 ~/.ssh/known_hosts 且 继 续 登 入 的 后 续 工作 ; 若 不 记录 (回答 no) 则 不 写 入 该 档 
案 ， 并 且 离 开 登 入 工作 ; 


@ 若 接收 到 的 公 钥 已 有 记录 ， 则 比 对 记录 是 否 相同 ， 若 相同 则 继续 登入 动作 ; 若 不 相同 ， 
则 出 现 敬告 信息 ， 且 离开 登入 的 动作 。 这 是 客户 端的 自我 保护 功能 ， 避 免 你 的 服务 器 是 
被 别人 伪装 的 。 


。 Ssh 通常 可 能 会 改变 ， 问 题 是 ， 如 果 是 测试 用 的 主机 ， 因 此 常常 在 重新 安 
装 ， 那 么 月 器 的 公 钥 肯定 经 常 不 同 ， 果 种 如 此 的 话 ， 你 就 无 法 继续 登入 了 【1 那 怎 办 ?让 我 
| 下 这 个 行为 吧 | 让 你 比较 有 印象 啦 ! 


例题 : 仿 丨 伺服 器 重新 安装 后 ， 假 设 服 务 器 使 用 相同 的 IP ， 造 成 相同 IP 的 服务 器 公 乌 不 
同 ， 产 生 的 问题 与 解决 之 道 为 何 ? 答 : 利用 前 一 小 节 讲 过 的 方式 ， 删 除 原 有 的 系统 公 钥 ， 重 
新 启动 ssh 让 你 的 公 铀 更 新 : 


rm /etc/ssh/ssh_host* 
/etc/init.d/sshd restart 


后 重新 使 用 底下 的 方式 来 进行 联机 的 动作 : 


[root@www ~]# ssh root@localhost 


0006066066060660066066060066060660600606060606060606060606060060060660600600600 
@ WARNING: REMOTE HOST _ IDENTIFICATION HAS CHANGED! @ &1t;== 就 告诉 你 可 能 有 问题 


6@6666000006006060666666666666666666060000606006060666066666666666606 

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! 

Someone could be eavesdropping on you right now (man-in-the-middle attack)! 
It is also possible that the RSA host key has just been changed. 

The fingerprint for the RSA key sent by the remote host is 
a7:2e:58:51:9f:1b:02:64:56:ea:cb:9c:92:5e:79:f9. 

Please contact your system administrator. 

Add correct host key in /root/.ssh/known_hosts to get rid of this message. 
Offending key in /root/.ssh/known_hosts:1 &lt;== 冒 号 后 面 接 的 数字 就 是 有 问题 数据 行 号 
RSA host key for localhost has changed and you have requested strict checking. 
Host key verification failed. 


上 述 的 表格 出 现 的 错误 讯息 中 ， 特 殊 字 体 的 地 方 在 告诉 你 : /root/.ssh/knownhosts 的 第 1 
行 ， 里 面 的 公 角 与 这 次 接收 到 的 结果 不 同 ， 很 可 能 被 攻击 了 | 那 怎 办 ? 没关系 啦 ! 请 你 使 用 
Vim 到 /root.ssh/known_hosts ， 并 将 第 1 行 (冒号 :后面 接 的 数字 就 是 了 ) 删除 ， 之 后 再 重新 
Ssh 过 ， 那 系统 又 会 重新 间 你 要 不 要 加 上 公 钥 嚼 | 就 这 么 简单 ! 名 


。 模拟 FTP 的 文件 传输 方式 : sftp 


Ssh 是 登入 远程 服务 器 进行 工作 ， 那 如 果 你 只 是 想 要 从 远程 服务 器 下 载 或 上 传 档 案 呢 ? 那 就 
不 是 使 用 ssh 啦 ， 而 必须 要 使 用 sftp 或 scp。 这 两 个 指令 也 都 是 使 用 ssh 的 通道 (port 22)， 
只 是 模拟 成 FTP 与 复制 的 动作 而 已 。 我 们 先 谈 谈 sftp ， 这 个 指令 的 用 法 与 ssh 很 相似 ， 只 是 
ssh 是 用 在 登入 而 sftp 在 上 传 /下 载 文件 而 已 。 


[root@www ~]# sftp student@localhost 

Connecting to localhost... 

student@localhost's password: &lLt;== 这 里 请 输入 密码 啊 | 
sftp&gt; exit &lt;== 这 里 就 是 在 等 待 你 输入 ftp 相关 指令 的 地 方 了 |! 


进入 到 sftp 之 后 ， 那 就 跟 在 一 般 FTP 模式 下 的 操作 方法 没有 两 样 了 ! 底下 我 们 就 来 谈 一 谈 ， 
sftp 这 个 接口 下 的 使 用 指令 吧 | 


针对 远方 服务 
器 主机 


(Server) 之 行 


变换 目录 到 
/etc/test 或 其 他 cd /etc/test cd PATH 
目录 


列 出 目前 所 在 
目录 下 的 文件 ls dir 


名 
建立 目录 mkdir directory 
删除 目录 rmdir directory 


显示 目前 所 在 


的 目录 RWS 


更 改 档案 或 目 
录 群 组 


更 改 档 案 或 目 
录 拥 有 者 


更 改 档案 或 目 
录 的 权限 


建立 连结 档 


删除 档案 或 目 
录 


更 改 档 案 或 目 
录 名 称 


离开 远程 主机 


针对 本 机 
(Client) 之 行为 
(都 加 上 1,L 上 的 
小 写 ) 


变换 目录 到 本 
机 的 PATH 当 
中 


列 出 目前 本 机 
所 在 目录 下 的 
文件 名 

在 本 机 建立 目 
录 

显示 目前 所 在 
的 本 机 目录 
针对 资料 上 传 / 
下 载 的 行为 
将 档案 由 本 机 
上 传 到 远程 主 
机 

将 档案 由 远程 
主机 下 载 回 来 


chgrp groupname PATH 
chown username PATH 


chmod 644 PATH 其 中 ，644 与 权限 有 关 ! 回去 看 基础 篇 ! 
In oldname newname 


rm PATH 


rename oldname newname 


exit (or) bye (or) quit 


Icd PATH 


lls 


Imkdir 


lpwd 


put [本 机 目录 或 档案 ] [远程 ] put [本 机 目录 或 档案 ] 如 果 是 这 种 格式 ， 
则 档案 会 放置 到 目前 远程 主机 的 目录 下 1! 


get [远程 主机 目录 或 档案 ] [本 机 ] get [远程 主机 目录 或 档案 ] 若是 这 种 
格式 ， 则 档案 会 放置 在 目前 本 机 所 在 的 目录 当中 ! 可 以 使 用 通配符 ， 
例如 : get* get*.rpm 亦 是 可 以 的 格式 |! 


就 整体 而 言 ，sftp 在 Linux 底下 ， 如 果 不 考虑 图 形 接 口 ， 那 么 他 已 经 可 以 取代 FTP 了 呢 | 
为 所 有 的 功能 都 已 经 涵盖 啦 ! 因此 ， 在 不 考虑 到 图 形 接口 的 FTP 软件 时 ， 可 以 直接 关 掉 FTP 
的 服务 ， 而 改 以 sftp-server 来 提供 FTP 的 服务 吧 ! 和 人 人 ^ 


例题 : 假设 localhost 为 远程 服务 器 ， 且 服务 器 上 有 student 这 个 使 用 者 。 要 (1) 将 本 机 的 
/etc/hosts 上 传 到 student 家 目录 ， 并 (2) 将 student 的 .bashrc 复制 到 a ks 底下 ， 该 
如 何 透 过 sftp 达成 ? 答 : 


[root@www ~]# sftp student@localhost 

sftp&gt; lls /etc/hosts  &1lt;== 先 看 看 本 机 有 没有 这 个 档案 
/etc/hosts 

sftp&gt; put /etc/hosts  &lt;== 有 的 话 ， 那 就 上 传 吧 | 
Uploading /etc/hosts to /home/student/hosts 


/etc/hosts 100% 243 0.2KB/s 00:00 
sftp&gt; 1s &1t ;== 有 没有 上 传 成 功 ? 看 远程 目录 下 的 文件 名 
hosts 

sttp&dut 18 a &1t ;== 那 有 没有 隐藏 档 呢 ? 

6 oe .bash_history .bash_logout 
.bash_profile .bashrc .mozilla hosts 

sftt&gt; lcd /tmp &lt ;== 切 换 本 机 目录 到 /tmp 

sftp&gt; lpwd &Lt;== 只 是 进行 确认 而 已 ! 

Local working directory: /tmp 

sftp&gt; get .bashrc &1t ;== 没 问题 就 下 载 吧 | 

Fetching /home/student/.bashrc to .bashrc 
/home/student/.bashrc 100% 124 0.1KB/s 00:00 
sftp&at; lls -a &1t ;== 看 本 地 端 档 案 档 名 

0 .font-unix keyring-rNd7qX .X11i-unix 

二 .gdm_socket lost+found scim-panel-socket:0-root 
.bashrc .ICE-unix mapping-root .X0-lock 

sftp&gt; exit &1t ;== 离 开 吧 | 


如 果 你 不 喜欢 使 用 文字 接口 进行 FTP 的 传输 ， 那 么 还 可 以 透 过 图 形 接口 来 连接 到 sftp-server 
哩 ! 你 可 以 利用 二 十 一 章 FTP 服务 器 提 到 的 Filezilla 来 进行 联机 的 啦 ! 如 此 一 来 ， 与 服务 器 
之 间 的 文件 传输 就 方便 多 了 吧 | 


e@ 档案 异地 直接 复制 : 


es 不 知道 服务 器 上 面 有 什么 档 名 的 档案 存在 ， 如 果 已 经 知道 服务 器 上 
的 档案 档 名 了 ， 那 么 最 简单 的 文件 传输 则 是 透 过 scp 这 个 指令 喔 ! 最 简单 的 scp 用 法 如 下 : 


[root@www ~]# scp [-pr] [-1 速率 ] file [账号 @] 主 机 :目录 名 &lt;== 上 传 
[root@www ~]# scp [-pr] [-1 速率 ] [账号 @] 主 机 :file 目录 名 &Lt;== 下 载 
选项 与 参数 : 

-p :保留 原本 档案 的 权限 数据 

-rr :复制 来 源 为 目录 时 ， 可 以 复制 整个 目录 ( 含 子 目录 ) 

-1 : 可 以 限制 传输 的 速度 ， 单 位 为 Kbits/s ， 例 如 [-1 800] 代表 传输 速 限 100Kbytes/s 


# 1\， 将 本 机 的 /etc/hosts* 全 部 复制 到 127.0.0.1 上 面 的 student 家 目录 内 
[root@www ~]# scp /etc/hosts* student@127.0.0.1:~ 
student@127.0.0.1's password: &]lt;== 输 入 student 密码 


hosts 100% 207 0.2KB/s 00:00 
hosts.allow 100% 161 0.2KB/s 00:00 
hosts.deny 100% 347 0.3KB/s 00:00 
# 文件 名 显示 进度 ”容量 (bytes) 传输 速度 ”剩余 时 间 


# 你 可 以 仔细 看 ， 出 现 的 讯息 有 五 个 字段 ， 意 义 如 上 所 示 。 


# 2\， 将 127.0.0.1 这 部 远程 主机 的 /etc/bashrc 复制 到 本 机 的 /tmp 底下 
[root@www ~]# scp student@127.0.0.1:/etc/bashrc /tmp 


其 实 上 传 或 下 载 的 重点 是 那个 冒号 (:) 史 ! 连接 在 冒 sa ged he 
果 冒 号 在 前 ， 代 表 的 就 是 从 远程 主机 下 载 下 来 ， 如 果 冒 号 在 后 ， 则 代表 本 机 数据 上 传 啦 1 而 
如 果 想 要 复制 目录 的 话 ， 那 么 可 以 如上-r 的 选项 ! 


例题 : 假设 本 机 有 个 档案 档 名 为 /root/dd_10mb file ， 这 个 档案 有 10 MB 这 么 大 。 假 设 你 想 
要 上 传 到 127.0.0.1 的 /tmp 底下 去 ， 而 且 你 在 127.0.0.1 上 面 有 root 这 个 账号 的 使 用 权 。 但 
由 于 带宽 很 宝贵 ， 因 此 你 只 想 要 花费 100Kbyes/s 的 传输 量 给 此 一 动作 ， 那 该 如 何 下 达 指 

令 ? 答 : 由 于 预 设 不 存在 这 个 档案 ， 因 此 我 们 得 先 使 用 dd 来 建立 一 个 大 档案 : 


dd if=/dev/zero of=/root/dd 10omb_ file bs=1M count=10 


建立 妥当 之 后 ， 由 于 是 上 传 数据 ， 观 察 -| 的 选项 中 ， 那 个 速率 用 的 是 bt ， 转 成 容量 的 bytes 
需要 乘 上 8 倍 ， 因 此 指令 就 要 这 样 下 达 : 


Scp -1 800 /root/dd_ 10mb_file root@127.0.0.1:/tmp 


11.2.4 ssh 客户 端 联机 程序 - Windows 用 户 


与 Linux 不 同 的 是 ， 预 设 的 Windows 并 没有 ssh 的 客户 端 程序 ， 因 此 所 有 的 程序 都 得 要 下 载 
其 他 第 三 方 软件 才 行 。 常见 的 软件 主要 有 pietty, psftp 及 filezilla 等 。 底 下 就 让 我 们 来 谈 谈 这 
几 个 软件 吧 。 


。 直接 联机 的 pietty 


在 Linux 底下 想 要 连接 SSH 服务 器 ， 可 以 直接 利用 ssh 这 个 指令 ， 在 Windows 操作 系统 底 
下 就 得 要 使 用 pietty 或 putty 这 两 个 玩意 儿 ， 这 两 者 的 下 载 点 请 参考 ( 注 2) : 


e putty 官方 网 站 : http://www.chiark.greenend.org.uk/~sgtatham/putty/ 
e pietty 官方 网 站 : http://www.csie.ntu.edu.tw/~piaip/pietty/ 


在 putty 的 官方 网 站 上 有 很 多 的 软件 可 以 使 用 的 ， 包 括 putty/pscp/psftp 等 等 。 他 们 分 别 对 应 
了 ssh/scp/sftp 这 三 个 指令 就 是 了 。 而 鸟 哥 爱 用 的 pietty 则 是 台湾 的 林 弘 德 先生 根据 putty 所 
改版 而 成 的 。 由 于 pietty 除了 完整 的 兼容 于 putty 之 外 ， 还 提供 了 选单 与 较为 完整 的 文字 编 
码 ， 实 在 很 好 用 呢 ， 所 以 底下 乌 哥 就 以 pietty 来 作为 介绍 史 。 在 你 下 载 pietty 完成 后 ， 双 击 该 
档案 ， 就 会 出 现 如 下 的 和 画面 哩 : 


总 PieTIY 连 狠 或 定 和 x| 




















人 主楼 范 泪 好 通讯 协定 即 可 


主楼 名 称 或 IP Port 
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六 使 用 界面 一 全 
lv 选单 列 同 ) 三 PuTTY 模 式 三 English UI 











-PeTTY—~-3 - 


PieTTY YD,3,27 (formerly ‘pputty") by 
Hung-Te Lin <piaip 问 csie,Drg> 


取消 (C) | 











图 11.2-3、pietty 的 启动 屏幕 示 


在 上 图 中 箭头 为 1 的 地 方 请 卉 写 相关 的 主机 名 或 者 是 IP， 箭 头 2 当然 务必 选择 SSH 那 一 
项 ， 至 于 箭头 3 的 地 方 ， 乌 可 比较 喜欢 选单 出 现 的 样式 ， 因 为 可 以 直接 修改 一 些 pietty 的 环 
境 设 定 值 ， 所 以 鸟 哥 是 选择 选单 啦 ! 若 没 有 问题 ， 按 下 『 联 机 J 后 ， 就 会 出 现 如 下 等 待 登入 
与 输入 账 / 密 数 据 的 画面 : 


/oly 


连 纤 已) 编辑 下 ) 梳 视 他 ) 视窗 QUD) ”进项 人 说 明 琶 ) 








图 11.2-4、pietty 的 登入 
与 使 用 画面 示意 图 


这 个 图 标 会 让 你 以 为 是 在 主机 前 面 工 作 吧 | 而 且 上 头 还 有 选单 可 以 随时 调整 类 似 字形 、 字 
体 、 字 符 编 码 等 等 的 重要 环境 参数 。 尤其 是 字符 编码 的 问题 ， 有 时 候 你 会 发 现 开启 档案 时 ， 
竟然 画面 当中 会 有 乱码 而 不 是 正常 的 中 文 显 示 ， 那 就 是 编码 的 问题 。 要 解决 这 个 问题 时 ， 你 
必须 要 牢记 下 面 的 三 个 跟 语系 编码 有 关 的 数据 要 相同 才 行 : 

。 文本 文件 本 身 在 存档 时 所 挑选 的 语系 ; 

。 Linux 程序 (如 bash 软件 ) 本 身 所 使 用 的 语系 (可 用 LANG 变量 调整 ) ; 

e pietty 所 使 用 的 语系 。 
我 们 知道 Linux 本 身 的 编码 可 以 透 过 LANG 这 个 变量 来 调整 ， 那 该 如 何 调整 pietty 的 中 文 编 
码 呢 ? 你 可 以 透 过 图 11.2-4 选单 列 当 中 的 『 选 项 J 来 处 理 ， 如 下 所 示 : 








EF r00TOE [63xl 2] 
连 牧 (CC 编辑 屯 ) ” 榨 视 吧 ”视窗 WD | 选项 人 ) 诸 明 四 


[ root@ywnn ~ ] 杂 


系统 预 识 值 


w Unicode 






字 元 篇 码 巴 ) 
多 国语 言 显 示 方 式 


泣 字 ( 侣 简 ) 转 换 吧 
亚洲 语 邓 修正 必 ) 


操作 界面 语 邓 民 ) 
系统 整合 亿 ) 
详 绥 识 定 必 们 .… 


UTF-8 





25 CCP950 
Japan Ss-JIs CP932 
Kkorean CP949 
PRC GB2312 CP936 





= 图 11.2-5、 调 整 pietty 的 
语系 编码 方式 (与 中 文 较 相关 ) 


在 『 选 项 」 的 『 字 符 编码 J 里 面 可 以 挑选 big5 (cp950) 或 者 是 unicode (utf8) 的 中 文 编码 ， 让 
它 符合 你 的 Linux 与 档案 所 储存 的 数据 格式 ， 那 中 文字 就 OK 的 啦 ! ^ 人 ! 如 果 想 要 作 更 细部 
的 设 定时 ， 可 以 选择 图 11.2-5 上 头 最 底下 的 那个 上 详细 设 定 」 项 目 ， 就 会 出 现 如 下 图 示 。 其 
中 更 为 重要 的 是 『 键 盘 右 侧 的 数字 键 想 要 生效 〗 时， 可 以 按照 下 图 的 指示 来 启动 数字 键 的 功 
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[fw Disable application keypad mode 
厂 Disable xterm-style mouse reporting 
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fw Disable remote window title guerying [SECURITY) 
厂 Disable destructive backspace on server sending ~? 
厂 Disable remote-controlled character set configuration 
厂 Disable Arabic text shaping 

厂 Disable bidirectional text display 








详细 设 定 ， 与 键 前 右 侧 数 字 键 相关 者 


图 11.2-6、pietty 软件 环境 


将 上 图 中 箭头 2 所 指 的 那个 项 目 勾 选 起 来 且 按 下 『ApplyJ 之 后 ， 你 键盘 右 侧 的 数字 键 才能 够 
正常 的 使 用 呢 ， 和 否则 按 右 侧 数字 键 会 是 乱码 啦 。 再 来 ， 你 可 以 调整 pietty 滚动 条 的 记忆 行 
数 ， 这 样 当 数据 太 多 时 ， 你 依旧 可 以 调整 滚动 条 来 查阅 之 前 的 数据 。 设 定 的 方法 如 下 : 


岛 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 
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图 11.2-7、 调 整 画面 可 以 记 
忆 的 行 数 ， 可 让 用 户 回去 看 较 多 之 前 的 画面 


调整 完 这 些 常用 的 数据 后 ， 再 来 这 是 最 重要 的 : 『 你 要 以 哪 一 个 版 本 的 SSH 算法 登入 ?4 前 
面 说 过 ， 我 们 预 设 是 以 version2 来 登入 的 ， 所 以 这 里 我 们 可 以 调整 为 2 那个 项 目 ! 这 样 每 次 
登入 都 会 以 version 2 的 模式 登入 主机 了 | 


11.2 文字 接口 联机 服务 器 : SSH 服务 
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图 11.2-8、 设 定 登 入 服务 器 
时 使 用 的 ssh 算法 版 本 


整个 pietty 的 使 用 与 相关 设 定 流程 就 是 这 样 | 如 此 一 来 ， 你 就 可 以 在 Windows 上 面 以 SSH 
的 协议 ， 登 入 远程 的 Linux 主机 噜 ! 粉 方便 吧 | ^^ |! 如 果 想 要 中 文 支持 的 话 ， 目 前 pietty 已 
经 支持 中 文 啦 ! 你 可 以 输入 中 文 喔 ! 不 过 需要 修改 一 下 字符 集 ， 选 择 图 11.2-5 『 了 选项 」 内 的 
『 字 型 」 就 会 出 现 如 下 图 示 : 



















WsT_Fren 
WST_Genm 
WSsT_Ital 
WST_Span 
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草 例 


中 文字 型 季 例 


字 集 驰 ): 
CHINESE_BIG5 












图 11.2-9、 选 择 中 文 的 字形 与 


编码 


将 (1) 字 型 设 定 为 细 明 体 、(2) 字 集 设 定 为 『Big54 ， 如 此 一 来 ， 你 的 pietty 就 支持 中 文 的 输入 
史 1 


么 上 面 我 们 作 的 这 些 设 定 值 都 记录 在 哪里 啊 ? 呵呵 ! 都 记录 在 Windows 的 登录 文件 当中 
! 你 可 以 在 Windows 的 系统 当中 ， 在 『 开 始 〗-->『 执 行 ] 后 ， 出 现 的 框框 内 输入 
『regeditJ ， 之 后 会 出 现 一 个 大 窗口 。 请 在 左边 的 画面 当中 选择 『 HKEYCURRENT_USER 
--> Software --> SimonTatham --> PuTTY --> Sessions4 ， 就 可 以 看 到 你 的 设 定 值 哆 ! 八 ! 
这 样 ， 也 就 可 以 储存 你 的 设 定 值 嘿 ~ 


e 使 用 sftp-server 的 功能 : psftp 


在 putty 的 官方 网 站 上 也 提供 psftp 这 支 程 序 。 这 一 支 程 序 的 重点 则 在 使 用 sftp-server。 使 用 
的 方式 可 以 直接 点 选 psftp 这 个 档案 ， 让 他 ee 动 ， 则 会 出 现下 面 的 图 样 : 


psftp: no hostname specified; use "open host.name" to connect 
psftp&gt; 


这 个 时 候 可 以 境 入 你 要 连接 上 去 的 主机 名 ， 例 如 我 的 区 域内 网 络 192.168.100.254 这 部 主 
机 : 


psftp: no hostname specified; use "open host.name" to connect 
psftp&gt; open 192.168.100.254 

login as: root 

root@192.168.100.254's password: 

Remote working directory is /root 

psftp&gt; &lt;== 这 里 就 在 等 待 你 输入 FTP 的 指令 了 | 


呵呵 ! 这 样 就 登入 主机 啦 ! 很 简单 吧 ! 然后 其 他 的 使 用 方式 跟前 面 提 到 的 sftp 一 样 哩 ! 加 油 
的 使 用 吧 ! 


e。 图 形 化 接口 的 sftp 客户 端 软 件 : Filezilla 


SSH 所 提供 的 sftp 功能 只 能 利用 纯 文 本 接口 的 psftp 来 联机 吗 ? 有 没有 图 形 接口 的 软件 呢 ? 
呵呵 | 当然 有 ! 那 就 是 非常 有 用 的 Filezilla 鹃 1 Filezilla 是 图 形 接口 的 一 个 FTP 客户 端 软 
件 ， 使 用 上 非常 的 方便 ， 至 于 详细 的 安 安装 装 与 使 用 流程 请 参考 第 和 二 十 一 章 i vsftpd 的 说 明 嘱 1! 


11.2.5 sshd 服务 如 细部 设 定 


基本 上 ， 所 有 的 sshd 服务 器 详细 设 定 都 放 在 /etc/ssh/sshd_config 里 面 ! 不 过 ， 每 个 Linux 
distribution 的 预 设 设 定 都 不 太 相 同 ， 所 以 我 们 有 必要 来 了 解 一 下 整个 设 定 值 的 意义 为 何 才 
好 |! 同时 请 注意 ， 在 预 设 的 档案 内 ， 只 要 是 预 设 有 出 现 且 被 批注 的 设 定 值 ( 设 定 值 前 面 加 
芍 ， 即 为 『 黑 认 值 1 4， 你 可 以 依据 它 来 修改 的 哩 。 


[root@www ~]# vim /etc/ssh/sshd_config 

# 1\， 关 于 SSH Server 的 整体 设 定 ， 包 含 使 用 的 port 啦 ， 以 及 使 用 的 密码 演算 方式 
# Port 22 

# SSH 预 设 使 用 22 这 个 port， 也 可 以 使 用 多 个 port， 即 重复 使 用 port 这 个 设 定 项 目 ! 
# 例如 想 要 开放 sshd 在 22 与 443 ， 则 多 加 一 行内 容 为 : 『 Port 443 J 

# 然后 重新 启动 sshd 这 样 就 好 了 ! 不 过 ， 不 建议 修改 port number 啦 1! 





Protocol 2 


# 
# 
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亲 


选择 的 SSH 协议 版 本 ， 可 以 是 1 也 可 以 是 2 ，Cent0S 5.Xx 预 设 是 仅 支援 V2。 
如 果 想 要 支持 加 版 V1 ， 就 得 要 使 用 『 Protocol 2,1 4 才 行 。 


ListenAddress 0.0.0.0 

监听 的 主机 适配器 ! 举 个 例子 来 说 ， 如 果 你 有 两 个 ITP， 分 别 是 192.168.1.100 及 
192.168.100.254， 假 设 你 只 想 要 让 192.168.1.100 可 以 监听 sshd ， 那 就 这 样 写 : 
『 ListenAddress 192.,168.1.100 J 默认 值 是 监听 所 有 接口 的 SSH 要 求 


PidFile /var/run/sshd.pid 
可 以 放置 SSHD 这 个 PID 的 档案 ! 上 述 为 默认 值 


LoginGraceTime 2m 
当 使 用 者 连 上 SSH server 之 后 ， 会 出 现 输入 密码 的 画面 ， 在 该 画面 中 ， 
在 多 久 时 间 内 没有 成 功 连 上 SSH server 就 强迫 断 线 ! 若 无 单 位 则 默认 时 间 为 秒 ! 


Compression delayed 
指定 何 时 开始 使 用 压缩 数据 模式 进行 传输 。 有 yes，no 与 登入 后 才 将 数据 压缩 (delayed) 


2\， 说明 主 机 的 Private Key 放置 的 档案 ， 预 设 使 用 下 面 的 档案 即 可 ! 

HostKey /etc/ssh/ssh_host_key # SSH version 1 使 用 的 私 铀 
HostKey /etc/ssh/ssh_host_rsa key # SSH version 2 使 用 的 RSA 私 铀 
HostKey /etc/ssh/ssh_host_dsa key # SSH version 2 使 用 的 DSA 私 铀 
还 记得 我 们 在 主机 的 SSH 联机 流程 里 面谈 到 的 ， 这 里 就 是 Host Key ~ 


3\， 关 于 登录 文件 的 讯息 数据 放置 与 daemon 的 名 称 |! 


SyslogFacility AUTHPRIV 
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当 有 人 使 用 SSH 登入 系统 的 时 候 ，SSH 会 记录 信息 ， 这 个 信息 要 记录 在 什么 daemon name 

底下 ? 预 设 是 以 AUTH 来 设 定 的 ， 即 是 /var/10g/secure 里 面 ! 什么 ?了 忘记 了 | 

回 到 [Linux 其 础 ](http://1linux.vbird.org/1linux_basic/) 去 翻 一 下 。 其 他 可 用 的 daemon name 为 :D， 
LOCALO, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCALS, 


LogLevel INFO 
登录 记录 的 等 级 ! 嘿嘿 ! 任何 讯息 ! 同样 的 ， 忘 记 了 就 回去 参考 |! 


4\， 安 全 设 定 项 目 ! 极 重要 ! 

4.1 登入 设 定 部 分 

PermitRootLogin yes 

是 否 允 许 root 登入 1 预 设 是 允许 的 ， 但 是 建议 设 定 成 no ! 


StrictModes yes 

是 否 让 sshd 去 检查 用 户 家 目录 或 相关 档案 的 权限 数据 ， 

这 是 为 了 担心 使 用 者 将 某 些 重要 档案 的 权限 设 错 ， 可 能 会 导致 一 些 问 题 所 致 。 
例如 使 用 者 的 ~,ssh/ 权限 设 错时 ， 某 些 特殊 情况 下 会 不 许 用 户 登入 


PubkeyAuthentication yes 

AuthorizedKeysFile .Ssh/authorized_ keys 

是 否 允 许 用 户 自行 使 用 成 对 的 密 钥 系统 进行 登入 行为 ， 仅 针对 version 2。 
至 于 自制 的 公 负 数据 就 放置 于 用 户 家 目录 下 的 ,ssh/authorized_keys 内 


PasswordAuthentication yes 


# 


# 
# 
# 
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密码 验证 当然 是 需要 的 ! 所 以 这 里 写 yes 喝 !1 


PermitEmptyPasswords no 
若 上 面 那 一 项 如 果 设 定 为 yes 的 话 ， 这 一 项 就 最 好 设 定 为 no ， 
这 个 项 目 在 是 否 允 许 以 空 的 密码 登入 | 当然 不 许 |! 


4.2 认证 部 分 
RhostsAuthentication no 
本 机 系统 不 使 用 ,rhosts， 因 为 仅 使 用 ,rhosts 太 不 安全 了 ， 所 以 这 里 一 定 要 设 定 为 no 


IgnoreRhosts yes 
是 否 取 消 使 用 ~/ .ssh/.rhosts 来 做 为 认证 ! 当然 是 | 


RhostsRSAAuthentication no # 
这 个 选项 是 专门 给 version 1 用 的 ， 使 用 rhosts 档案 在 /etc/hosts.equiv 
配合 RSA 演算 方式 来 进行 认证 ! 不 要 使 用 啊 ! 


HostbasedAuthentication no 
这 个 项 目 与 上 面 的 项 目 类 似 ， 不 过 是 给 Version 2 使 用 的 | 


IgnoreUserKknownHosts no 


# 是 否 忽略 家 目录 内 的 ~/ .ssh/known_hosts 这 个 档案 所 记录 的 主机 内 容 ? 
# 当然 不 要 忽略 ， 所 以 这 里 就 是 no 啦 |1 

ChallengeResponseAuthentication no 

# 允许 任何 的 密码 认证 1! 所以， 任何 1ogin.conf 规定 的 认证 方式 ， 均 可 适用 ! 

# 但 目前 我 们 比较 喜欢 使 用 PAM 模块 帮忙 管理 认证 ， 因 此 这 个 选项 可 以 设 定 为 no 喔 1! 


UsePAM yes 
# 利用 PAM 管理 使 用 者 认证 有 很 多 好 处 ， 可 以 记录 与 管理 。 
# 所 以 这 里 我 们 建议 你 使 用 UsePAM 且 ChallengeResponseAuthentication 设 定 为 no 


# 4.3 与 Kerberos 有 关 的 参数 设 定 ! 因为 我 们 没有 Kerberos 主机 ， 所 以 底下 不 用 设 定 ! 
# KerberosAuthentication no 

# KerberosoOrLocalPasswd yes 

# KerberosTicketCleanup yes 

# KerberosTgtPassing no 


4.4 底下 是 有 关 在 X-Window 底下 使 用 的 相关 设 定 ! 

11Forwarding yes 

X11iDisplayoffset 10 

XiiUseLocalhost yes 

比较 重要 的 是 X11Forwarding 项 目 ， 他 可 以 让 窗口 的 数据 透 过 ssh 信道 来 传送 喔 ! 
在 本 章 后 面 比较 进 阶 的 ssh 使 用 方法 中 会 谈 到 。 
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4.5 登入 后 的 项 目 : 

PrintMotd yes 

登入 后 是 否 显示 出 一 些 信息 呢 ? 例如 上 次 登入 的 时 间 、 地 点 等 等 ， 预 设 是 yes 

亦 即 是 打印 出 /etc/motd 这 个 档案 的 内 容 。 但 是 ， 如 果 为 了 安全 ， 可 以 考虑 改 为 no |! 


亲 半 闪闪 


PrintLastLog yes 
显示 上 次 登入 的 信息 ! 可 以 啊 | 预 设 也 是 yes |! 


六 


TCPKeepAlive yes 

当 达 成 联机 后 ， 服 务 器 会 一 直 传 送 TCP 封包 给 客户 端 藉以 判断 对 方式 否 一 直 存 在 联机 。 
不 过 ， 如 果 联 机 时 中 间 的 路 由 器 暂时 停止 服务 几 秒 钟 ， 也 会 让 联机 中 断 喔 ! 

在 这 个 情况 下 ， 任 何 一 端 死 掉 后 ，SSH 可 以 立刻 知道 ! 而 不 会 有 僵尸 程序 的 发 生 ! 

但 如 果 你 的 网 络 或 路 由 器 常常 不 稳定 ， 那 么 可 以 设 定 为 no 的 啦 1! 


亲 亲 闪闪 亲 


USsePrivilegeSeparation yes 

# 是 否 权限 较 低 的 程序 来 提供 用 户 操作 。 我 们 知道 sshd 启动 在 port 22 ， 

# 因此 启动 的 程序 是 属于 root 的 身份 。 那 么 当 Student 登入 后 ， 这 个 设 定 值 
# 会 让 sshd 产生 一 个 属于 sutdent 的 sshd 程序 来 使 用 ， 对 系统 较 安 全 


MaxStartups 10 

# 同时 允许 几 个 尚未 登入 的 联机 画面 ? 当 我 们 连 上 SSH ， 但 是 尚未 输入 密码 时 ， 

# 这 个 时 候 就 是 我 们 所 谓 的 联机 画面 啦 ! 在 这 个 联机 画面 中 ， 为 了 保护 主机 ， 

# 所 以 需要 设 定 最 大 值 ， 预 设 最 多 十 个 联机 画面 ， 而 已 经 建立 联机 的 不 计算 在 这 十 个 当中 


# 4.6 关于 用 户 抵挡 的 设 定 项 目 : 

DenyUsers * 

# 设 定 受 抵挡 的 使 用 者 名 称 ， 如 果 是 全 部 的 使 用 者 ， 那 就 是 全 部 挡 吧 ! 
# 若是 部 分 使 用 者 ， 可 以 将 该 账号 填 入 ! 例如 下 列 ! 

DenyUsers test 


DenyGroups test 
# 与 DenyUsers 相同 ! 仅 抵 挡 几 个 群 组 而 已 ! 


# 5\， 关 于 SFTP 服务 与 其 他 的 设 定 项 目 ! 

Subsystem sftp /usr/l1ib/ssh/sftp-server 

# UseDNS yes 

# 一 般 来 说 ， 为 了 要 判断 客户 端 来 源 是 正常 合法 的 ， 因 此 会 使 用 DNS 去 反 查 客户 端的 主机 名 
# 不 过 如 果 是 在 内 网 互 连 ， 这 项 目 设 定 为 no 会 让 联机 达成 速度 比较 快 。 


二 
基本 上 ，CentOS 预 设 的 sshd 服务 已 经 算是 挺 安全 的 了 ， 不 过 还 不 够 ! 建议 你 (1) 将 root 的 


登入 权限 取消 ; (2) 将 ssh 版 本 设 定 为 2。 其 他 的 设 定 值 就 请 你 依照 自己 的 喜好 来 设 定 了 。 
通常 不 建议 进行 随便 修改 啦 ! 另外 ， 如 果 你 修改 过 上 面 这 个 档案 (etc/ssh/sshd_config)， 那 么 





就 必需 要 重新 启动 一 次 sshd 这 个 daemon 才 行 ! 亦 即 是 : 


e /etc/init.d/sshd restart 


11.2.6 制作 不 用 密码 可 立即 登入 的 ssh 用 户 


你 或 许 已 经 想到 了 ， 了 既然 ssh 可 以 使 用 scp 来 进行 网 络 复制 的 话 ， 那 么 我 能 不 能 将 scp 的 指 

令 放 置 于 crontab 服务 中 ， 让 我 们 的 系统 透 过 scp 直接 在 背景 底下 自行 定期 行 网 络 复制 

与 备份 呢 ? 抱歉 ， 答 案 是 : 『 预 设 状况 下 不 允许 此 动作 J 的 ! 为 甚么 呢 ? 因为 预 设 状况 下 ， 

你 必须 要 透 过 远程 登录 ， 与 scp 互动 的 输入 密码 才 行 啊 ! 但 crontab 又 不 会 让 你 有 终端 接口 

输入 密码 ， 所 以 该 程序 就 会 一 直 卡 住 而 无 法 在 crontab 内 执行 成 功 喔 ! 那 怎 办 ? 我 们 要 放弃 
这 个 好 用 的 网 络 复制 工具 吗 ? 当然 不 是 啦 ! 我 们 可 以 透 过 密 钥 认证 系统 来 处 理 的 ! 


既然 SSH 可 以 使 用 密 钥 系统 来 比 对 数据 ， 并 且 提 供用 户 数 据 的 加 密 功 能 ， 那 么 可 不 可 能 利用 
这 个 Key 就 提供 用 户 自己 进入 主机 ， 而 不 需要 输入 密码 呢 ? 呵呵 | 好 主意 ! 我 们 可 以 将 
Client 产生 的 Key 给 他 拷贝 到 Server 当中 ， 所 以 ， 以 后 Client 登入 Server 时 ， 由 于 两 者 在 
SSH 要 联机 的 讯号 传递 中 ， 就 已 经 比 对 过 Key 了 ， 因此 ， 可 以 立即 进入 数据 传输 接口 中 ， 而 
不 需要 再 输入 密码 呢 ! 在 实 作 上 的 步骤 可 以 是 : 


1. 客户 端 建立 两 把 钥匙 : 想 一 想 ， 在 密 钥 系统 中 ， 是 公 St 是 私 钥 比较 重要 ? 当 
然 是 私 钥 比较 重要 ! 因此 私 钥 才 是 解密 的 关键 啊 1 所 以 哩 ， 这 两 把 钥匙 当然 得 在 发 起 联 
机 的 客户 端 建 置 才 对 。 利 用 的 指令 为 ssh-keygen 这 个 命令 ; 


2.， 客户 端 放 置 好 私 钥 档案 : 将 Private Key 放 在 Client 上 面 的 家 目录 ， 亦 即 $HOME/.ssh/ 
， 并 且 得 要 注意 权限 喔 ! 


3， 将 公 角 放置 服务 器 端的 正确 目录 与 文件 名 去 : 最 后 ， 将 那 把 Public Key 放 在 任何 一 个 你 
想 要 用 来 登入 的 服务 器 端的 某 User 的 家 目录 内 之 .ssh/ 里 面 的 认证 档案 即 可 完成 整个 程 
序 。 

a 难 的 样子 ， 其 实 步骤 丨 的 很 简单 ， 我 们 依 序 来 进行 作业 好 了 | 假设 前 提 如 下 ， 
进行 的 步骤 则 如 下 图 : 


e。 Server 部 分 为 www.centos.vbird 这 部 192.168.100.254 的 主机 ， 和 欲 使 用 的 账号 为 dmtsai 
e Client 部 分 为 clientlinux.centos.vbird 这 部 192.168.100.10 的 vbirdtsai 这 个 账号 ， 该 账 
号 要 用 来 登入 192.168.100.254 这 部 主机 的 dmtsai 账号 。 







2. 将 第 一 步 邓 产 生 
的 公 钥 档 案 上 伟 
到 服务 器 上 

3 将 公 名 档案 放置 于 | 利用 vbirdtsai 的 身份 建立 
~dmtsaiisshyauthorinad_keys 密 角 档案， 该 档案 预 设 
档案 内 族 至 于 vbirdsailssh 内 。 图 11.2-10、 制 作 不 需要 密码 的 ssh 账号 基本 


流程 
。 1. 客户 端 建立 两 把 钥匙 : 


建立 的 方法 很 简单 ， 在 clientlinux.centos.vbird 这 部 主机 上 面 以 vbirdtsai 的 身份 来 建立 两 把 钥 
是 即 可 。 不 过 ， 需 要 注意 的 是 ， 我 们 有 多 种 密码 算法 ， 如 果 不 指定 特殊 的 算法 ， 则 默认 以 
RSA 算法 来 处 理 : 


[vbirdtsai@clientlinux ~]$ ssh-keygen [-t rsa&#124;dsa] &lt;== 可 选 rsa 或 dsa 
[vbirdtsai@clientlinux ~]$ ssh-keygen  &]lt;== 用 预 设 的 方法 建立 密 铀 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/vbirdtsai/.ssh/id_rsa): &lt;== 按 enter 
Created directory '/home/vbirdtsai/.ssh'. &lLt;== 此 目录 若 不 存在 则 会 主动 建立 

Enter passphrase (empty for no passphrase): &lt;== 按 Enter 不 给 密码 

Enter same passphrase again:; &]lt;== 再 输入 一 次 Enter 吧 ! 

Your identification has been saved in /home/vbirdtsai/.ssh/id_rsa. &1Lt;== 私 钥 档 
Your public key has been saved in /home/vbirdtsai/.ssh/id_rsa.pub. &lt; “= 公 钢 档 
The key fingerprint is: 

of:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 vbirdtsai@clientlinux.centos.vbird 


[vbirdtsai@clientlinux ~]$ ls -ld ~/.ssh; 1s -1 ~/.ssh 

drwx------ . 2 vbirdtsai vbirdtsai 4096 2011-07-25 12:58 /home/vbirdtsai/.ssh 
-rw------- . 1 vbirdtsai vbirdtsai 1675 2011-07-25 12:58 id_rsa &]t;== 私 钥 档 
-rw-r--r--. 1 vbirdtsai vbirdtsai 416 2011-07-25 12:58 id_rsa.pub &lt;== 公 铀 档 


请 注意 上 面 喔 ， 我 的 身份 是 vbirdtsai ， 所 以 当 我 执行 ssh-keygen 时 ， 才 会 在 我 的 家 目录 底 

下 的 .ssh/ 这 个 目录 里 面 产 生 所 需要 的 两 把 Keys ， 分 别 是 私 钥 (id_rsa) 与 公 铀 

(id_rsa.pub)。 ~/.ssh/ 目录 必须 要 是 700 的 权限 才 行 ! 另外 一 个 要 特别 注意 的 就 是 那个 

id_rsa 的 档案 权限 啦 ! 他 必须 要 是 -rW------- 且 属 于 vbirdtsai 自己 才 行 ! 否则 在 未 来 密 钥 比 对 

的 中 ， ew earn) 以 公私 钥 成 对 档案 的 机 制 来 达成 联机 喔 。 其 
， 建 立 私 钥 后 预 设 的 权限 与 文件 名 放置 位 置 都 是 正确 的 ， 你 只 要 检查 过 没 问 题 即 可 。 


。 2. 将 公 钥 档案 数据 上 传 到 服务 器 上 : 


因为 我 们 要 登入 www.centos.vbird 是 以 dmtsai 的 身份 ， 因 此 我 们 就 得 要 将 上 个 步骤 建立 的 公 
钥 (id_rsa.pub) 上 传 到 服务 器 上 的 dmtsai 用 户 才 行 。 那 如 何 上 传 呢 ? 最 简单 的 方法 当然 就 是 
使 用 scp 嘛 ! 


[vbirdtsai@clientlinux ~]$ scp ~/.ssh/id_rsa.pub dmtsai@192.168.100.254:~ 
# 上 传 到 dmtsai 的 家 目录 底下 即 可 。 


。 3. 将 公 角 放置 服务 器 端的 正确 目录 与 文件 名 : 


还 记得 sshd_config 里 面谈 到 的 AuthorizedKeysFile 这 个 设 定 值 吧 ? 该 设 定 值 就 是 在 指定 公 
铀 数据 应 该 要 放置 的 文件 名 史 ! 所 以 ， 我 们 必须 要 到 服务 器 端的 dmtsai 这 个 用 户 身份 下 ， 将 
刚刚 上 传 的 id_rsa.pub 数据 附加 到 authorized _ keys 这 个 档案 内 才 行 。 作 法 有 点 像 这 样 


# 1\， 建 立 ~/ ,Ssh 档案 ， 注意 权限 需要 为 700 喔 1 

[dmtsai@www ~]$ ls -ld .ssh 

ls: ,ssh: 没有 此 一 档案 或 目录 

# 由 于 可 能 是 新 建 的 用 户 ， 因 此 这 个 目录 不 存在 。 不 存在 才 作 底下 建立 目录 的 行为 


[dmtsai@www ~]$ mkdir .ssh; chmod 700 .ssh 
[dmtsai@www ~]$ ls -ld .ssh 

drwx------ . 2 dmtsai dmtsai 4096 Jul 25 13:06 .ssh 
# 权限 设 定 中 ， 务 必 是 700 且 属 于 使 用 者 本 人 的 账号 与 群 组 才 行 ! 


# 2\， 将 公 角 档案 内 的 数据 使 用 cat 和 转 存 到 authorized_keys 内 


[dmtsai@www ~]$ ls -1 *pub 
-rw-r--r--. 1 dmtsai dmtsai 416 Jul 25 13:05 id_rsa.pub &1t;== 确 实 有 存在 


[dmtsai@www ~]$ cat id_rsa.pub &gt;&gt; .ssh/authorized_ keys 
[dmtsai@www ~]$ chmod 644 .ssh/authorized_ keys 

[dmtsai@www ~]$ ls -1 .ssh 

-rw-r--r--. 1 dmtsai dmtsai 416 Jul 25 13:07 authorized_keys 
# 这 个 档案 的 权限 设 定 中 ， 就 得 要 是 644 才 可 以 1! 不 可 以 搞 混 了 |! 


这 样 就 搞定 密 钥 系统 嘿 1 以 后 你 从 clientlinux.centos.vbird 的 vbirdtsai 登入 到 
www.centos.vbird 的 dmtsai 用 户 时 ， 就 不 需要 任何 的 密码 哩 1 举例 来 说 ， 你 可 以 这 样 测试 看 
看 哆 : 


例题 : 透 过 上 述 的 案例 练习 成 功 后 ， 请 在 clientlinux 的 vbirdtsai 身份 中 ， 将 系统 的 
/etc/hosts* 档案 复制 给 www.centos.vbird 的 dmtsai 用 户 的 家 目录 。 答 : 


vbirdtsai@clientlinux ~]$ scp /etc/hosts* dmtsai 4 > 
birdtsai@client1i $ scp /etc/hosts* dmtsai@192.168.100.254 


hosts 100% 187 0.2KB/s 00:00 
hosts.allow 100% 161 0.2KB/s 00:00 
hosts .deny 100% 347 0.3KB/s 00:00 


# 你 会 发 现 ， 原 本 会 出 现 的 那个 密码 提示 数据 不 会 出 现 了 喔 ! 


[vbirdtsai@clientlinux ~]$ ssh dmtsai@192.168.100.254 "ls -1" 
-rw-r--r--. 1 dmtsai dmtsai 196 2011-07-25 13:09 hosts 
-rw-r--r--. 1 dmtsai dmtsai 370 2011-07-25 13:09 hosts.allow 
-rw-r--r--. 1 dmtsai dmtsai 460 2011-07-25 13:09 hosts.deny 
-rw-r--r--. 1 dmtsai dmtsai 416 2011-07-25 13:05 id_rsa.pub 
# 确实 有 复制 到 对 方 去 了 ! 有 显示 出 正确 的 远程 数据 哩 | 


很 简单 的 步骤 吧 ! 这 样 一 来 ， 使 用 ssh 相关 的 客户 端 指令 就 可 以 不 需 密码 的 手续 了 |! 无 论 如 
何 ， 在 建立 密 铀 网 步骤 中 你 要 记得 的 是 : 


。 Client 必须 制作 出 Public & Private 这 两 把 keys， 且 Private 需 放 到 ~/.Ssh/ 内 ; 

。 Server 必须 要 有 Public Key ， 且 放置 到 用 户 家 目录 下 的 ~/.ssh/authorized_keys， 同 时 
目录 的 权限 (.ssh/) 必须 是 700 而 档案 权限 则 必须 为 644 ， 同 时 档案 的 拥有 者 与 群 组 都 必 
须 与 该 账号 吻合 才 行 。 


未 来 ， 当 你 还 想 要 登入 其 他 的 主机 时 ， 只 要 将 你 的 public key (就 是 id_rsa.pub 这 个 档案 ) 给 
他 copy 到 其 他 主机 上 面 去 ， 并 且 新 增 到 某 账 号 的 ~/.ssh/authorized_keys 这 个 档案 中 ! 哈 
哈 ! 成功! 


11.2.7 简 多 安全 设 定 


老实 说 ， 大 家 都 被 TSSH 是 个 安全 的 服务 」 所 欺骗 了 ! 其 实 sshd 并 不 怎么 安全 的 |! 翻 开 
openssh 的 过 去 历史 来 看 ， 确 实 有 很 多 人 是 利用 ssh 的 程序 漏洞 来 取得 远程 主机 root 的 权 
限 ， 进 一 步 黑 掉 对 方 的 主机 ! 所 以 这 玩意 儿 说 实话 ， 也 不 是 很 安全 的 啦 ! 


sshd 之 所 谓 的 『 安 全 J 其实 指 的 是 『 sshd 的 数据 是 加 密 过 的 ， 所 以 他 的 数据 在 Internet 上 
面 传递 时 是 比较 安全 的 。 至 于 sshd 这 个 服务 本 身 就 不 是 那样 安全 了 ! 所 以 说 : 『 非 必要 ， 不 
要 将 sshd 对 Internet 开放 可 登入 的 权限 ， 尽 量 局 限 在 几 个 小 范围 内 的 IP 或 主机 名 即 可 1 这 
很 重要 的 呢 ! 


好 了 ， 那 么 关于 安全 的 设 定 方面 ， 有 没有 什么 值得 注意 的 呢 ? 当然 是 有 啦 ! 我 们 可 以 先 建议 
几 个 项 目 吧 ! 分 别 可 以 由 底下 这 三 方面 来 进行 : 
。 服务 器 软件 本 身 的 设 定 强化 : /etc/ssh/sshd_config 


。 TCP wrapper 的 使 用 : /etc/hosts.allow, /etc/hosts.deny 
。 iptables 的 使 用 : iptables.rule, iptables.allow 


e。 服务 器 软件 本 身 的 设 定 强 化 : /etc/ssh/sshd_config 


一 般 而 言 ， 这 个 档案 的 默认 项 目 就 已 经 很 完备 了 ! 所 以 ， 事 实 上 是 不 太 需 要 更 动 他 的 1 但 
是 ， 如 果 你 有 些 使 用 者 方面 的 顾虑 ， 那 么 可 以 这 样 修正 一 些 问 题 呢 ! 


e@ 禁止 root 这 个 账号 使 用 sshd 的 服务 ; 
e 禁止 nossh 这 个 群 组 的 用 户 使 用 sshd 的 服务 ; 
e@ 人 焚 止 testssh 这 个 用 户 使 用 sshd 的 服务 ; 


除了 上 述 的 账号 之 外 ， 其 他 的 用 户 则 可 以 正常 的 使 用 系统 。 现 在 鸟 哥 假 设 你 的 系统 里 面 已 经 
有 sshnot1, sshnot2, sshnot3 加 入 nossh 群 组 ， 同 时 系统 还 有 testssh, student 等 账号 。 相 
关 的 账号 处 理 请 自行 参考 基础 篇 来 设 定 ， 底 下 仅 是 列 出 观察 的 重点 : 


# 1\， 先 观察 一 下 所 需要 的 账号 是 否 存 在 呢 ? 

[root@www ~]# for user in sshnot1 sshnot2 sshnot3 testssh student; do \ 
&gt; Id $user &#124; cut -d ' ' -f1i-3 ; done 

uid=507(sshnot1) gid=509(sshnot1) groups=509(sshnot1),508(nossh) 
uid=508(sshnot2) gid=510(sshnot2) groups=510(sshnot2),508(nossh) 
uid=509(sshnot3) gid=511(sshnot3) groups=511(sshnot3),508(nossh) 
uid=511(testssh) gid=513(testssh) groups=513(testssh) 

uid=505(student) gid=506(student) groups=506(student) 

# 若 上 述 账号 并 不 存在 你 的 系统 ， 请 自己 建 置 出 来 ! UID/GID 与 鸟 哥 的 不 同 也 没关系 ! 


# 2\， 修改 sshd_config 并 且 重 新 启动 sshd 吧 ! 

[root@www ~]# vim /etc/ssh/sshd_config 

PermitRootLogin no &lt;== 约 在 第 39 行 ， 请 拿 掉 批 注 且 修改 成 这 样 
DenyGroups nossh  ”&lt;== 底 下 这 两 行 可 以 加 在 档案 的 最 后 面 
DenyUsers testssh 


[root@www ~]# /etc/init.d/sshd restart 


# 3\， 测 试 与 观察 相关 的 账号 登入 情况 吧 ! 

[root@www ~]# ssh root@localhost &1lt;== 并 请 输入 正确 的 密码 

[root@www ~]# tail /var/log/secure 

JUL 25 13:14:05 www sshd[2039]: pam_ unix(sshd:auth): authentication failure; 
logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost vser=root 

# 你 会 发 现 出 现 这 个 错误 讯息 ， 而 不 是 密码 输入 错误 而 已 。 

[root@www ~]# ssh sshnot1@localhost  &1t;== 并 请 输入 正确 的 密码 

[root@www ~]# tail /var/log/secure 


JUL 25 13:15:53 www sshd[2061]: User sshnot1 from localhost not allowed because 
a group is listed in DenyGroups 


[root@www ~]# ssh testssh@localhost  &1t;== 并 请 输入 正确 的 密码 
[root@www ~]# tail /var/log/secure 


JUL 25 13:17:16 www sshd[2074]: User testssh from localhost not allowed 
because listed in DenyUsers 


从 上 面 的 结果 来 看 ， 你 就 会 发 现 到 ， 不 同 的 登入 账号 会 产生 不 一 样 的 登录 档 结 果 。 因 此 ， 当 
你 老 是 无 法 顺利 使 用 ssh 登入 某 一 部 主机 时 ， 记 得 到 该 服务 器 上 去 检查 看 看 登录 档 ， 说 不 定 
就 会 顺利 的 让 你 解决 问题 哆 1! 在 我 们 的 测试 机 上 面 ， 请 还 是 放行 root 的 登入 喔 ! 


e /etc/hosts.allow 及 /etc/hosts.deny 


举例 来 说 ， 你 的 sshd 只 想 让 本 机 以 及 区 网 内 的 主机 来 源 能 够 登入 的 话 ， 那 就 这 样 作 : 
[root@www ~]# vim /etc/hosts.allow 
sshd: 127.0.0.1 192.168.1.0/255.255.255.0 192.168.100.0/255.255.255.0 


[root@www ~]# vim /etc/hosts.deny 
sshd : ALL 


e iptables 封包 过 滤 防 火 墙 


多 几 层 保护 也 很 好 的 ! 所 以 也 可 以 使 用 iptables 喔 ! 参考 : 第 九 章 、 防 火 墙 与 NAT 服务 器 内 
的 实际 脚本 程序 ， 你 应 该 在 iptables.rule 内 将 port 22 的 放行 功能 取消 ， 然 后 再 到 
iptables.allow 里 面 新 增 这 行 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -S 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 
iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 22 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


上 述 的 方法 处 理 完毕 后 ， 如 果 你 还 是 一 部 测试 机 ， 那 么 记得 要 将 设 定 值 还 原 回来 只 ! 最 后 ， 
『 乌 哥 呼 吁 大 家 ， 不 要 开放 SSH 的 登入 权限 给 所 有 Internet 上 面 的 主机 ~ 这 很 重要 喔 ~ 因 


为 如 果 对 方 可 以 ssh 进入 你 的 主机 ， 那 么 ... 太 危险 了 ~ 


11.3 最 原始 图 形 接口 : Xdmcp 服务 的 启用 


考虑 一 个 情况 ， 如 果 你 的 Linux 主机 主要 是 用 来 作为 图 形 处 理 时 ， 而 且 同时 有 多 人 需要 用 到 
那个 功能 ， 那 么 一 部 Linux 是 否 一 次 仅 能 提供 一 个 人 处 理 那 个 软件 呢 ? 嘿嘿 上 那 可 不 一 定 

喔 | 因为 Linux 有 相当 优秀 的 X Window System 啊 ! 现在 就 来 谈 谈 第 一 个 图 形 接口 的 远程 联 
机 服务 器 吧 | 


11.3.1 X Window 的 Server/Client 架构 与 各 组 件 


由 于 我 们 Linux 使 用 的 图 形 接口 是 所 谓 的 X-Window System 的 东西 ， 这 玩意 儿 是 能 够 跨 平台 
的 ， 目 前 在 Linux 上 头 开 发 的 图 形 接口 软件 ， 几 乎 都 是 使 用 这 个 X 的 架构 来 处 理 ， 所 以 嘿 ， 

你 就 不 能 够 不 知道 X Window 啦 ! 我 们 在 基础 篇 第 三 版 的 二 十 四 章 已 经 讲 过 X Window 啦 ， 

因此 这 里 只 会 作 个 简单 的 介绍 ， 以 方便 大 家 来 了 解 为 何 我 们 的 软件 是 这 么 安装 与 设 定 喔 ! 


X Window System 在 运作 的 过 程 中 ， 又 因 控制 的 数据 不 同 而 分 为 X Server 与 X Client 两 种 程 
序 ， 虽 然 说 是 X Server/Client ， 但 是 他 的 作用 却 与 网 络 主机 的 Server/Client 架构 大 异 其 趣 喔 
一 先 来 说 说 X Server/Client 这 两 种 程序 所 负责 的 任务 先 : 


e。 X Server : 这 组 程序 主要 负责 的 是 屏幕 画面 的 绘制 与 显示 。 X Server 可 以 接收 来 自 X 
client 的 数据 ， 将 这 些 数据 绘制 呈现 为 图 面 在 屏幕 上 。 此 外 ， 我 们 移动 鼠标 、 点 击 数 据 、 
由 键盘 输入 数据 等 等 ， 也 会 透 过 X Server 来 传达 到 X Client 端 ， 而 由 X Client 来 加 以 运 
算出 应 绘制 的 数据 ; 


e。X Client : 这 组 程序 主要 负责 的 是 数据 的 运算 。 X Client 在 接受 到 X Server 传 来 的 数据 
后 (例如 移动 鼠标 、 点 击 icon 等 动作 )， 会 经 由 本 身 的 运算 而 得 到 鼠标 应 该 要 如 何 移动 、 
点 击 的 结果 应 该 要 出 现 什么 样 的 数据 、 键 盘 输 入 的 结果 应 该 要 如 何 呈 现 等 等 ， 然 后 将 这 
些 结果 告知 X Server ， 让 他 自行 去 绘制 到 屏幕 上 。 


Tips: 乌 可 常常 开玩笑 的 说 ，X server 就 是 画布 ， 而 X client 就 是 手 拿 画笔 的 画家 。 你 得 要 先 
有 画布 (管理 好 所 有 可 显示 的 硬件 后 ) 之 后 画家 的 想法 (计算 出 来 的 绘图 数据 ) 才能 够 绘制 到 画 
布 上 | 


由 于 每 一 支 X client 都 是 独立 存在 的 程序 ， 因 此 在 图 形 显 示 会 发 生 一 些 迭 图 的 问题 (想象 一 下 
每 一 个 X client 都 是 一 个 很 自我 的 画家 ， 每 个 画家 都 不 承认 对 方 的 存在 ， 都 自 顾 自 的 在 画布 
上 面 作画 ， 最 后 的 结果 会 是 如 何 ? )。 因 此 ， 后 来 就 有 一 组 特殊 的 X client 在 进行 管理 所 有 的 


其 他 X client 程序 ， 这 个 总 管 的 吹 吹 就 是 Window Manager ! 


。 Window Manager (WM) : 是 一 组 控制 所 有 X client 的 管理 程序 ， 并 同时 提供 例如 任务 


关 、 背 景 桌面 、 虚 拟 划 面 、 窗 口 大 小 、 窗 ts a ed oes 
主要 由 一 些 大 型 的 计划 案 所 开发 而 来 ， 常 见 的 有 GNOME, KDE, XFCE 等 


既然 X Window System 是 Linux 上 面 的 一 组 程序 ， 那 么 它 如 何 启 动 的 呢 ? 早 期 的 用 户 在 登入 
系统 后 ， 必 须要 自己 先 启 动 X server 程序 ， 然 后 再 启动 个 别 的 Window manager ， 若 有 其 他 
a ， 再 局 动 其 他 额外 的 X client 就 是 了 。 这 么 麻烦 ! 所 以 为 了 简化 启动 个 人 图 形 接口 的 步 
又 ， 后 来 还 有 所 谓 的 Display Manager (DM) 这 玩意 哩 ! 


。 Display Manager (DM) : 提供 使 用 者 登入 的 画面 以 让 用 户 可 以 藉 由 图 形 接口 登入 。 在 使 
用 者 登入 后 ， 可 透 过 ， manager 的 功能 去 呼叫 其 他 的 Window manager ， 让 用 户 
在 图 形 接口 的 登入 过 程 变 得 更 简单 。 由 于 DM 也 是 启动 一 个 等 待 输 入 账号 密码 的 图 形 数 
据 ， 因 此 DM X Server 然后 在 上 头 加 载 等 待 输入 的 画面 就 是 了 。 


在 目前 新 释 出 的 Linux distributions 中 ， 通 常 启动 图 形 接口 让 用 户 登 入 的 方式 中 ， 都 是 先 执行 
Display Manager 程序 ， 该 程序 会 主动 加 载 一 个 X Server 程序 ， 然 后 再 提供 一 个 等 待 输入 账 

号 密码 的 接口 程序 ， 之 后 再 根据 用 户 的 选择 去 启动 所 需要 的 Window Manager 程序 ， 最 后 就 
由 用 户 直接 操作 WM 来 玩 图 形 接 口 喝 。 


例题 : 在 CentOS 6.x 当中 ， 若 预 设 为 init 5 的 情况 下 ， 那 


么 最 终 启 动 图 形 接 口 的 是 哪 一 只 
序 ? 答 :分析 /etc/init/* 当中 的 档案 ， 会 发 现 有 个 档案 的 内 容 是 这 


文 样 : 


[root@www ~]# cat /etc/init/prefdm.conf 
start on stopped rc RUNLEVEL=5 

stop on starting rc RUNLEVEL=[!5] 
console output 

respawn 

respawn limit 10 120 

exec /etc/X11/prefdm -nodaemon 


你 可 以 分 析 /etc/X11/prefdm 的 内 容 ， 就 能 够 发 现 其 实 该 行 启动 的 就 是 一 个 X display 
manager 程序 了 喔 ! 


例题 : 登入 init 5 的 CentOS 6.x 之 前 ， 先 到 tty1 去 查阅 一 下 X server 是 由 哪 一 支 程序 所 唤醒 
的 ? 答 :我 们 可 以 透 过 pstree 来 观察 程序 间 的 相关 性 喔 ! 同时 注意 ， 预 设 的 CentOS 6.x 的 
X server 程序 名 称 为 Xorg 的 哩 。 


[root@www ~]# pstree -p 
init(1)-+-NetworkManager (1086) 


“(中间 省 咯 ) 

&#124; -gdm-binary(2642)---gdm-simple-slav(2661)-+-Xorg(2663) 

&#124; &#124; -gdm-session-wor(2746) 
, (后 面 省 略 ) , ,，,， 


由 上 述 的 数据 来 看 ， gdm-binary 可 以 唤醒 Xorg 喔 ! 同 理 ， 我 们 也 会 知道 提供 认证 的 图 形 画 
面 应 该 是 由 gdm-session 所 提供 的 喔 ! 


e。 X Window System 用 在 网 络 上 的 方式 : XDMCP 


当 X server X client 都 在 同一 部 主机 上 面 的 时 候 ， 你 可 以 很 轻松 的 启动 一 个 完整 的 X Window 
System。 但 是 如 果 你 想 要 透 过 这 个 机 制 在 网 络 上 面 启动 X 呢 ? 此 时 你 得 先 在 客户 端 启动 一 个 
X server 将 图 形 接口 绘图 所 需要 的 硬件 装置 配置 好 ， 并 且 启 动 一 个 Xserver 常见 的 接收 埠 口 
(通常 是 port 6000)， 然 后 再 由 服务 器 端的 X client 取得 绘图 数据 ， 再 将 数据 绘制 成 图 史 。 透 
过 这 个 机 制 ， 你 可 以 在 任何 一 部 启动 X server 登入 服务 器 呢 ! 而 且 不 管 你 的 操作 系统 是 啥 

呢 ! 意义 就 像 下 图 ， 如 此 一 来 ， 你 就 可 以 取得 服务 器 所 提供 的 图 形 接口 环境 啦 ! 
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Unix 
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Linux 
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的 架构 


但 是 如 果 你 是 使 用 最 策 的 方法 在 客户 端 自己 启动 X server ， 然 后 在 告诉 服务 器 将 X client 程 
序 一 个 一 个 的 加 载 回 来 ， 那 就 太 累 人 了 吧 ! 我 们 之 前 上 面 不 是 提 到 过 可 以 用 display manager 
来 管理 使 用 者 的 登入 与 启动 X 吗 ? 那 服务 器 能 不 能 提供 一 个 类 似 的 服务 ， 那 我 们 直接 透 过 服 
务 器 的 display manager 就 能 够 提供 我 们 登入 的 认证 与 加 载 自己 选择 的 window manager 的 
话 ， 这 样 就 太 棒 了 ! 能 够 达到 吗 ? 当然 可 以 啊 1 那 就 是 透 过 Xdmcp (X display manager 
control protocol) ( 注 3) 听 1! 


Xdmcp 启动 后 会 在 服务 器 的 udp 177 开始 监听 ， 然 后 当 客户 端的 X server 联机 到 服务 器 的 
port 177 之 后 ， 我 们 的 Xdmcp 就 会 在 客户 端的 X server 放 上 用 户 输入 账 密 的 图 形 接口 程序 
史 ! 那 你 就 能 透 过 这 个 Xdmcp 去 加 载 服务 器 所 提供 的 类 似 Window Manager 的 相关 X client 
史 ! 那 你 就 能 够 取得 图 形 接口 的 远程 联机 服务 器 哩 ! 赞 吧 ! 

那么 什么 时 候 会 出 现 多 使 用 者 连 入 服务 器 取得 X 的 情况 呢 ? 以 乌 哥 的 例子 来 说 ， 乌 哥 实 验 室 
有 一 组 Linux 在 进行 数值 模拟 ， 他 输出 的 结果 是 NetCDF 档案 ， 我 们 必须 使 用 PAVE 这 一 套 
软件 去 处 理 这 些 数据 。 但 是 我 们 有 两 三 个 人 同时 都 会 使 用 到 那个 功能 ， 偏 偏 Linux 主机 是 放 


在 机 架 柜 里 面 的 ， 要 我 们 挤 在 那个 小 小 的 空间 前 面 『 站 着 」 操 作 计 算 机 ， 可 卜 是 讨 人 厌 啊 一 
这 个 时 候 ， 我 们 就 会 架设 图 形 接 口 的 远程 登录 服务 器 ， 让 我 们 可 以 『 多 人 同时 以 图 形 接口 登 
入 Linux 主机 J 来 操作 我 们 自己 的 程序 ! 很 棒 ， 不 是 吗 |! 


11.3.2 设 定 gdm 的 XDMCP 服务 


既然 是 所 谓 的 Xdmcp 协议 ， 那 么 是 否 意 味 着 与 X display manager 有 关 呢 ? 没 错 啦 1 Xdmcp 
协议 是 由 DM 程序 所 提供 的 。 我 们 的 CentOS 预 设 的 DM 为 GNOME 这 个 计划 所 提供 的 
gdm 哩 ! 因 此， 你 想 要 启动 Xdmcp 服务 ， 那 就 得 要 针对 gdm 这 个 程序 来 设 定 史 。 这 个 gdm 
的 设 定数 据 都 放置 在 /etc/gdm/ 目录 下 ， 而 我 们 所 要 修改 的 配置 文件 其 实 仅 是 一 个 
/etc/gdm/custom.conf ( 注 4) 档案 而 已 。 


Tips: X11 提供 的 display manager 为 xdm ， 而 著名 的 KDE 与 GNOME 也 都 有 自己 的 


display manager 管理 程序 ， 分 别 是 kdm 与 gdm 。 你 可 以 透 过 三 者 中 任何 一 者 的 display 
manager 的 配置 文件 来 启动 xdmcp 这 个 协定 呢 ~ 





不 过 ， 因 为 我 们 安装 的 基准 是 『Basic serverJ ， 所 以 很 多 图 形 接口 软件 并 没有 被 安装 起 来 。 
因此 ， 在 实 作 Xdmcp 之 前 ， 我 们 得 先 安装 图 形 接口 才 行 喔 ! 使 用 yum groupinstall 来 安装 
吧 | 


# 先 检查 看 看 与 X 相关 的 软件 群 组 有 哪些 ? 
[root@www ~]# yum grouplist 
Desktop 
Desktop Platform 
X Window System 
# 这 三 个 算是 最 重要 的 项 目 了 ! 得 要 安装 起 来 才 行 喔 ! gdm 是 在 Destop 中 | 





[root@www ~]# yum groupinstall "Desktop" "Desktop Platform" \ 
&gt; "X Window System" 


上 面 进 行 完毕 后 ， 现 在 才能 开始 搞定 custom.conf 啦 ! 来 试 玩 看 看 ! 


[root@www ~]# vim /etc/gdm/custom. conf 








[security] &1t; == 在 与 资 安 方面 有 关 的 信息 0 
AllowRemoteRoot=yes &lt; a Ep 预 设 不 许 root 登入 ， 得 用 这 个 项 目 才能 以 root 登入 
DisallowTCP=false &lt ;== 这 个 项 目 在 允许 安 户 名 TCP 的 方式 联机 到 xdmcp 
[xdmcp] &1t ;== 就 是 这 个 小 节 的 重点 之 一 虽 ! 

Enable=true &1t ;== 启 动 xdmcp 的 最 重要 项 目 史 1! 


# 上 述 特殊 字体 的 部 份 就 是 你 得 要 和 和 己 新 增 的 内 容 哆 ! 


[root@www I init 5 
# 上 述 这 个 指令 会 切换 到 X 图 形 画 面 ， 如 果 确 定 要 使 用 gdm，runlevel 得 调整 到 5 才 好 
# 果 丨 如 此 的 话 ， 那 就 得 9 要 调整 /etc/inittab 史 ! 


[root@www ~]# netstat -tulnp 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 © 0.0.0.0:6000 0.0.0.0:* LISTEN 4557/Xorg 

tcp 0 © :::6000 ee LISTEN 4557/Xorg 

udp 0 0 0.0.0.0:177 0.0.0.0:* 4536/gdm-binary 
# 上 述 的 port 6000 是 由 DisallowTCP=false 项 目 启动 的 ，port 177 才 是 我 们 要 的 


上 述 的 动作 鸟 哥 是 在 runlevel 3 底下 启动 的 ， 如 果 你 是 在 runlevel 5 底下 时 ， 因 此 你 也 可 以 利 
用 『init 3 && init 5 」 来 重新 启动 图 形 接口 。 但 如 果 你 是 在 runlevel 3 Se 
为 runlevel 5 呢 ? 那 又 该 如 何 启 动 port 177 啊 ? 如 果 是 这 样 的 话 ， 那 么 你 可 以 这 样 局 

xdmcp 啦 : 


[root@www ~]# init 3 

[root@www ~]# runlevel 

5 3 &lLt;== 堪 边 的 是 前 一 个 runlevel， 右边 的 是 目前 的 ， 因 此 目前 是 runlevel 3 
[root@www ~]# gdm ”&1lt;== 这 样 就 启动 xdmcp 史 ! 

[root@www ~]# vim /etc/rc.d/rc.local 

/usr/sbin/gdm 


现在 你 知道 如 何在 不 同 的 runlevel 启动 xdmcp 了 吧 ? 如 果 是 runlevel 5 ， 因 为 在 /etc/inittab 
就 已 经 有 自动 启动 gdm 了， 所 以 你 只 要 顺利 启动 runlevel 5 即 可 。 但 如 果 你 是 在 runlevel 3 
的 话 ， 因 为 这 样 gdm 就 不 会 被 系统 的 启动 流程 启动 ， 那 你 只 好 自己 在 /etc/rc.d/rc.local 里 面 
指定 启动 他 嘿 ! 这 样 了 解 呼 ? 不 过 ， 既 然 你 都 要 使 用 xdmcp 了 ， 所 以 建议 您 直接 启动 在 
runlevel 5 即 可 ! 接 下 来 ， 你 得 要 开放 客户 端 对 你 的 port 177 联机 才 行 ! 请 自行 修改 你 的 防 
火 墙 规则 ， 开 放 udp port 177 吧 ! 鸟 哥 这 里 假设 你 使 用 鸟 哥 的 防火 墙 脚本 ， 那 你 这 样 作 就 好 
本 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p UDP -i $EXTIF --dport 177 --sport 1024:65534 \ 
-S 192.168.100.0/24 -j ACCEPT #xdmcp 

# 注意 喔 ! 特点 是 使 用 UDP 埠 口 以 及 加 入 来 源 端 IP 网 域 的 控 管 ! 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save &#124; grep 177 

-A INPUT -s 192.168.100.0/24 -i ethog -p udp -m udp --sport 1024:65534 --dport 177 -j ACCE 
# 确实 有 开放 port 177 ;而且 是 udp 的 堆 口 喔 ! 要 注意 这 两 个 项 目 。 





11.3.3 用 户 系统 为 Linux 的 登入 方式 


由 于 Linux 本 身 的 窗口 就 是 由 X server 提供 来 的 ， 因 此 使 用 Linux 登入 远程 的 图 形 服务 器 是 
很 简单 的 啦 ! 但 是 因为 启动 X 的 方式 不 同 而 已 数 种 启动 方式 ， 底 下 我 们 就 讲 讲 两 个 常见 的 局 
动 方式 : 


e。 在 不 同 的 X 环境 下 启动 联机 : 直接 用 X 


如 果 你 的 客户 端 已 经 在 runlevel 5 了， 因此 其 实 你 已 经 有 一 个 X 窗口 的 环境 ， 这 个 环境 的 显 
示 终 端 机 就 称 为 『:0 」。 在 CentOS 6.x 的 环境 中 ， 如 果 原 本 就 是 runlevel 5 的 环境 ， 那 么 

这 个 图 形 接口 的 :0 是 在 tty1 终端 机 啦 ! 如 果 是 由 runlevel 3 局 动 图 形 接 口 ， 那 就 是 在 tty7 
喔 |! 由 于 已 经 有 一 个 X 了 ， 因 此 你 必须 要 在 另外 的 终端 机 启动 另 一 个 X 才 行 ! 那个 新 的 X 就 
称 为 :1 接口 ， 其 实 通常 就 在 tty7 或 tty8 啦 ! 但 因为 X server 要 接受 X client 必须 要 有 授权 才 
行 ， 所 以 你 得 先 在 窗口 接口 开放 接受 来 自 服务 器 的 X client 数据 。 


此 外 ， 虽 然 你 在 客户 端 是 以 主动 的 方式 连接 到 服务 器 的 udp port 177 ， 但 是 服务 器 的 X client 
却 会 主动 的 连接 到 你 客户 端的 Xserver， 因 此 ， 你 必须 要 开放 来 自 服 务 器 端 主动 对 你 的 TCP 
port 6001 (因为 是 :1 界面 ) 的 防火 墙 联机 才 行 喔 ! 那 就 来 实 做 看 看 : 


# 1\， 放行 X client 传 来 的 资料 :在 X Window 的 画面 当中 启用 shell 输入 : 
[root@clientlinux ~]# xhost + 192.168.100.254 

192.168.100.254 being added to access control list 

# 注意 ! 你 是 客户 端 ! 且 假设 我 刚刚 那 部 Linux 主机 的 IP 为 192.168.100.254 


# 2\， 开 始 放行 防火 墙 ， 因 为 我 们 启动 port 6001 ， 所 以 你 在 客户 端 这 样 作 : 
[root@clientlinux ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 6001 -j ACCEPT 


[root@clientlinux ~]# /usr/local/virus/iptables/iptables.rule 

[root@clientlinux ~]# iptables-save 

-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 6001 -j ACCEPT 
要 能 看 到 上 面 这 一 行 才 行 吻 ! 


# 3\， 在 文字 接口 (例如 tty1) 下 输入 如 下 的 指令 : 


[root@clientlinux ~]# X -query 192.168.100.254 :1 
# 进入 X Window 哆 1! 


如 果 一 切 顺利 的 话 ， 那 么 你 在 clientlinux.centos.vbird 就 会 看 到 如 下 的 画面 (注意 主机 名 ) : 
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个 人 Tue 2:30PM  @ 


图 11.3-2、 在 客户 端 连 上 Xdmcp 成 功 的 画面 


在 上 图 中 输入 正确 的 账号 与 密码 之 后 ， 你 在 tty8 (:1) 就 会 有 个 窗口 接口 哩 1 那 你 如 果 想 要 回 

到 本 机 的 窗口 接口 ， 就 回 到 tty7 (:0) 即 可 切换 成 功 ! (在 runlevel5 时 ，:0 在 tty1 ， 而 :1 在 

tty7 喔 ! ) 那 想 要 关闭 tty8 该 如 何 是 好 ? 你 不 能 够 在 tty8 注销 啦 ， 因 为 注销 后 ， 系 统 会 重新 开 
一 个 等 待 登入 的 画面 ， 你 还 是 没 办 法 关闭 的 。 你 得 要 回 到 刚刚 启动 X 的 tty1 然后 按 下 [ctrl]-c 
中 断 联 机 即 可 |! 


e@ 在 同一 个 X 底 下 启动 另 一 个 X: 使 用 Xnest 


如 果 常 常 在 tty7, tty8 切换 来 去 的 话 ， 偶 而 会 忘记 到 底 在 哪个 界面 了 ， 尤 其 是 当 你 的 桌面 都 一 
模 一 样 时 ， 那 就 更 难 判 断 了 。 有 没有 办 法 直接 在 tty7 启动 另 一 个 窗口 来 加 载 远 程 服务 器 的 图 
形 接 口 呢 ? 可 以 的 ， 那 就 透 过 Xnest 吧 | 这 指令 需要 在 X 的 环境 下 使 用 喔 |! 它 的 简单 用 法 如 
下: 


[root@www ~]# Xnest -query 主机 名 -geometry 分 辩 率 :1 

选项 与 参数 : 

-query : 后 面 接 xdmcp 服务 器 的 主机 名 或 IP 吕 

-geometry :后 面 接 和 画面 的 分 辩 牵 ， 例 如 1024x768 或 800x609 等 之 类 的 分 辩 率 


# 根据 上 述 数据 ， 使 用 800x600 连 上 192.168.100.254 那 部 主机 : 
[root@www ~]# yum install xorg-x11-server-Xnest 
[root@www ~]# Xnest -query 192.168.100.254 -geometry 640x480 :1 


如 果 一 切 顺 利 的 话 ， 那 你 就 会 在 tty7 的 本 机 X 环境 下 看 到 如 下 的 画面 (底下 的 画面 是 已 经 登 
入 的 情况 ! ) 


人 应 用 程式 位 置 系统 名 全 区 理 本 呈 时 
root@clientlinux:~ 和 
福 当 (F) 编 加 (E) 检 涡 (V)】 搜寻 (5) 约 册 号 (T) 求 押 HH 一 一 一 
[root@clientlinux ~]# Xnest -query 192.168.199.254 -geometry 649x486 :1 
( 有 xX | | Xnest | 


7 月 26 日 (二 





一 -一 -一 -一 
TD CTL CD 


A 


一 


lS 


www.centos.vbird 


sshnotl 





图 11.3-3、 在 客户 端的 X 顺 利 连 上 Xdmcp 的 画面 


一 开始 的 图 示 会 与 图 11.3-2 一 样 ， 就 是 出 现 输入 账 密 的 画面 ， 如 果 输 入 正确 的 帐 密 后 ， 就 会 
出 现 上 述 的 图 示 了 。 人 和 仔细 看 一 下 画面 当中 的 终端 机 标 头 ， 你 就 会 发 现 确实 是 两 部 主机 的 桌面 

呢 ! 这 样 有 没有 更 棒 棒 ? ^ ^! 要 关闭 这 个 X 就 简单 多 了 | 直接 按 下 关闭 ， 或 者 是 中 断 那 个 
Xnest 的 程序 即 可 。 


11.3.4 用 户 系 统 为 Windows 的 登入 方式 : Xming 


由 于 Windows 本 身 并 没有 提供 预 设 的 Xserver ， 因 此 我 们 得 要 自行 安装 X server 在 
Windows 上 面 才 行 。 目 前 常见 的 X server 有 底下 这 几 个 : 


e X-Win32 (http:/www.xwin32.tw/) 
e Exceed (http://www.hummingbird.com/products/nc/exceed/index.html?cks=y) 
e。 Xming (http://sourceforge.net/projects/xming/) 


其 中 X-Win32 与 Exceed 都 属于 商业 软件 ， 而 Xming 则 属于 轻 量 级 的 自由 软件 ， 说 是 轻 量 级 
并 非 说 它 不 好 ， 而 是 因为 Xming 的 档案 申 的 很 小 ， 而 该 有 的 功能 都 有 了 ， 所 以 算是 很 不 赖 的 
一 个 软件 喔 ! 因此 底下 鸟 哥 是 以 Xming ( 注 5) 作 范 例 来 介绍 的 。 


1. 安装 : 你 可 以 使 用 预 设 的 方法 ， 一 直下 一 步 的 安装 下 去 ， 就 能 够 顺利 的 安装 好 Xming 这 
套 X server 的 软件 哩 。 
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2. 启动 : 请 在 『 开 始 」-->『 程 序 集 4 --> 『XmingJ --> 『XLaunchJ 开启 设 定 联机 到 xdmcp 
的 方式 。 底 下 我 们 会 使 用 区 网 内 的 广播 (broadcast) 来 找到 xdmcp 服务 器 的 方式 。 启 动 
XLaunch 之 后 会 出 现 如 下 的 图 示 : 


Select display settings 
Choose how Kming displays programs. 





DS Multiple windows 晤 S Fullscreen 


© Qoe window : 全 One window 
without titlebar 


Display number 





[ED 
Xming 的 Xdmcp 连接 方式 示意 图 





图 11.3-4、 


记得 上 面 的 图 示 要 选择 One window 或 Fullscreen 或 One window without titlebar 才能 
够 使 用 XDMCP 喔 ! 选择 完毕 后 按 『 下 一 步 ] 就 会 出 现 如 下 的 画面 : 


nitype 
Select how to start Xming : 
Choose session type and whether a client fs started immediately. 





© Start no dient 
This will just start Xming, You will be able to start local dients later， 







S start a program 
or remote program which will connect to Xming, You will be able to 
nts later too, Remote programs are started using PuTTYASSH， 

©) Open session Via XDMCP 


NN This will start a remote XDMCP session, Starting local clients later is limited, This option 
is not available with the "Multiple windows” mode, 





Xming 的 Xdmcp 连接 方式 示意 图 


图 11.3-5、 


11.3 最 原始 图 形 接 口 : Xdmcp 服务 的 启用 386 


十 


鸟 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


上 述 的 图 示 当 中 共有 三 种 传递 X client 的 方法 ， 在 这 个 小 节 当 中 我 们 要 连 到 xdmcp ， 所 
以 你 得 要 选择 第 三 个 喔 ! 之 后 再 下 一 步 会 出 现下 图 : 





Configure a remote XDMCP connection | 
Enter or search for a host with a display manager Contigured to allow a remote | 
| 


EHD. 








© Connect to host 192,158,100,25 
Use indirect connect 
名) Search for hosts (broadcast) 


Some XDMCP servers must be configured to allow remote cONnections, Please check the 
documentation about configuring XDMCP servers, 





Xming 的 Xdmcp 连接 方式 示意 图 


图 11.3-6、 


这 里 当然 就 是 连接 到 你 想 要 连 上 去 的 xdmcp 服务 器 哆 ! 将 他 的 IP 填 上 去 吧 ! 之 后 再 下 
一 步 去 : 








Specify parameter settings 
Enter clipboard, remote font server, and all other parameters. 
Clipboard [|No Access Control 
start the integrated dipboard manager Disable Server Access Control 


Remote font server (if any) 





Additional parameters for Xming 





Sdditional parameters for PUTTY or 55H 








BN 
ee 


Xming 的 Xdmcp 连接 方式 示意 图 





上 图 的 项 目 与 数据 的 互相 复制 贴 上 有 关 ， 保 留 默 认 值 即 可 。 按 下 下 一 步 吧 | 


11.3 最 原始 图 形 接 口 : Xdmcp 服务 的 启用 387 





SR 一 一 一 一 一 一 一 一 一 一 一 一 一 a 
Configaration complete 
Choose whether to save your settings to an XML file. 


Click Finish to start Xming， 


You may also 'Save configuration for re-use (run automatically or alter via -load option), 





Save configuration Indude PuTTY Password as insecure dear text 








ER ED ED | 、 


Xming 的 Xdmcp 连接 方式 示意 图 





出 现 上 图 就 是 设 定 完毕 了 ， 给 它 按 下 『 完 成 了 之 后 ， 你 就 会 发 现 如 同 图 11.3-2 的 画面 出 
现 ， 你 就 能 够 开始 在 Windows 底下 连 上 图 形 接口 的 Linux Server 鹃 ! 很 轻松 吧 ! 


3， 重 点 在 Server 与 Client 的 防火 墙 上 


其 实 从 上 面 的 设 定 当 中 你 会 发 现 ，XDMCP 不 论 是 在 Server 还 是 Client 的 设 定 上 面 都 很 简 
单 ! 但 是 有 时 候 你 就 是 会 发 现 ， 明明 所 有 的 动作 都 做 完了 ， 但 是 就 是 没有 办 法 连 上 Xdmcp 
服务 器 ! 最 容易 发 生 错 误 的 其 实 就 是 防火 墙 啦 | 因为 虽然 我 们 客户 端 启动 X server 后 ， 会 主 
动 联机 到 服务 器 端的 Xdmcp (port 177)， 但 是 ， 接 下 来 却 是 服务 器 主动 联机 到 我 们 客户 端的 
X server (可 能 是 port 6000~6010)。 因此 ， 如 果 你 只 是 设 定 了 服务 器 的 防火 墙 而 已 ， 那 么 很 
可 能 出 现 问 题 的 应 该 就 是 客户 端的 防火 墙 忘 记 打 开 提 供 服务 器 主动 联机 的 规则 嚼 1 这 点 是 必 
须要 跟 大 家 说 明 的 喔 ! 


11.4 华丽 的 图 形 接口 : VNC 服务 器 


就 如 同 刚刚 上 头 讲 到 的 ， 使 用 xdmcp 可 能 会 启动 多 个 不 同 的 埠 口 ， 导 致 防火 墙 设 定 上 面 比较 
困扰 些 。 那 有 没有 简单 一 点 的 图 形 接口 连接 方式 ? 其 实 还 有 很 多 啦 ， 在 这 里 我 们 先 来 讲 一 个 
比较 简单 的 ， 那 就 是 VNC (Virtual Network Computing) 这 玩意 儿 啦 |! ( 注 6) 


11.4.1 预 设 的 VNC 服务 器 : 使 用 twm window manager 


VNC server 会 在 服务 器 端 启动 一 个 监听 用 户 要 求 的 端口 ， 一 般 端 口号 码 在 5901 ~ 5910 之 
间 。 当 客户 端 启 动 X server 联机 到 5901 之 后 ，VNC server 再 将 一 堆 预先 设 定好 的 X client 
透 过 这 个 联机 传递 到 客户 端 上 ， 最 终 就 能 够 在 客户 端 显示 服务 器 的 图 形 接 口 了 。 


不 过 需要 注意 的 是 ， 预 设 的 VNC server 都 是 独立 提供 给 『 单 一 上 一 个 客户 端 来 联机 的 ， 因 此 

当 你 要 使 用 VNC 时 ， 再 联机 到 服务 器 去 启动 VNC server 即 可 。 所 以 ， 一 般 来 说 ，VNC 

server 都 是 使 用 手动 启动 的 ， 然 后 使 用 完毕 后 ， 再 将 VNC server 关闭 即 可 。 整 个 作法 其 实 
很 简单 喔 ! 你 可 以 这 样 作 : 


[root@www ~]# vncserver [: 号 码 ] [-geometry 分 状 率 ] [options] 
[root@www ~]# vncserver [-kill :号 码 ] 


选项 与 参数 : 

: 号码 : 就 是 将 VNC server 开 在 哪个 埠 口 ， 如 果 是 :1 则 代表 VNC 5901 境 口 
-geometry : 就 是 分 辨认 ， 例如 1024x768 或 800x600 之 类 的 

options : 其 他 X 相关 的 选项 ， 例 如 -query 。 之 类 的 

-kill : 将 已 经 启动 的 VNC 起 口 删 除 ! 依据 身份 控制 喔 。 


[root@www ~]# yum install tigervnc-server 
# 这 个 是 必须 要 的 服务 器 软件 ， 注 意 软 件 的 名 称 喔 ! 与 之 前 的 版 本 不 同 ! 


# 将 VNC server 局 动 在 5903 埠 口 
[root@www ~]# vncserver :3 


You will require a password to access your desktops. 
Password: &lt;== 输 入 VNC 的 联机 密码 ， 这 是 建立 VNC 时 所 需要 的 
Verify: &1t ;== 再 输入 一 次 相同 的 密码 

xauth: creating new authority file /root/.Xauthority 

New 'www.centos.vbird:3 (root)' desktop is www.centos.vbird:3 
Creating default startup script /root/.vnc/xstartup 


Starting applications specified in /root/.vnc/xstartup 
Log file is /root/.vnc/www.centos.vbird:3.]10og 


[root@www ~]# netstat -tulnp &#124; grep X 

tcp 0 © 0.0.0.0:5903 0.0.0.0:* LISTEN 4361/Xvnc 
tcp 0 © 0.0.0.0:6000 0.0.0.0:* LISTEN 1755/Xorg 
tcp 0 0 8 Ys ys 0.0:* LISTEN 4361/Xvnc 
tcp 0 © :::6000 09 LISTEN 1755/Xorg 
tc 0 0 :6003 Te LISTEN 4361/Xvnc 


cp 
# 已 经 局 | 1 


在 上 述 的 指令 操作 中 ， 你 要 知道 的 几 个 项 目 是 : 


1， 密码 至 少 需要 六 个 字符 

2.， 依据 使 用 vncserver 的 身份 ， 将 刚刚 建立 的 密码 放置 于 该 账号 家 目录 下 。 例 如 上 述 的 身份 
是 使 用 root 身份 ， 因 此 密码 ee /root/.vnc/passwd 这 个 档案 中 但 是 若 该 档案 已 经 
存在 ， 则 不 会 出 现 建立 密码 的 画 

3， 当 客户 端 联机 成 功 后 ， 服务器 将 会 /root/.vnc/startx 内 的 X client 给 客户 端 喔 ! 


那 如 果 你 想 要 修改 VNC 密码 呢 ? 很 简单 ， 那 就 使 用 vncpasswd 吧 ! 


[root@www ~]# 1s -1 /root/.vnc/passwd 

-rw------- .1root root 8 Jul 26 15:08 /root/.vnc/passwd 
[root@www ~]# vncpasswd 

Password:  &lLt;== 就 是 这 里 开始 输入 新 的 密码 啊 ! 


Verify: 
[root@www ~]# 1s -1 /root/.vnc/passwd 
-rw------- . 1 root root 8 Jul 26 15:15 /root/.vnc/passwd 


# 看 吧 ! 时 间 有 更 新 喔 ! 这 个 档案 的 内 容 更 动 过 虽 ! 


接 下 来 开始 放行 5903 这 个 埠 口 的 联机 防火 墙 规 则 吧 ! 因为 预计 可 能 会 开放 11 个 VNC 的 埠 
口 ， 所 以 干脆 一 口气 开放 11 个 堆 口 吧 ! 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 5900:5910 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save 

-A INPUT -s 192.168.100.0/24 -i etho -p tcp -m tcp --dport 5900:5910 -j ACCEPT 
# 要 看 得 到 上 面 这 行 才 OK 吗 ! 


11.4.2 VNC 的 客户 端 联 机 软件 


与 xdmcp 很 类 似 啦 ，VNC 客户 端 在 Linux 系统 上 面 有 默认 的 软件 ， 但 是 在 Windows 系统 上 
面 则 必须 要 额外 安装 其 他 软件 。 我 们 先 来 谈 谈 Linux 的 VNC 用 户 软件 吧 | 


e Linux 客户 端 程序 : vncviewer 


用 在 Linux 客户 端的 VNC 程序 ， 那 就 是 vncviewer。 只 是 ， 这 个 软件 默认 没有 安装 ， 所 以 你 
得 要 使 用 yum 安装 完毕 后 再 来 联机 吧 ! 不 过 一 样 要 注意 ， 服 务 器 端的 防火 墙 一 样 要 设 定 受 当 
喔 |! 然后 开始 在 客户 端的 图 形 接 口上 执行 底下 数据 : 

[root@clientlinux ~]# yum install tigervnc 


[root@clientlinux ~]# vncviewer 192.168.10.254:3 
# 这 个 指令 请 一 定 一 定 要 在 图 形 接 口上 面 执行 才 行 电 ! 很 重要 1 别 访 了 


[root@clientlinux ~]# vncviewer 192.168.100.254:3 
而 VNC authentication [VncAuth] ~ 口 x 











TigerVNC Viewer 60:09:01 


copyright (C) 29 


Copyright (C) 29 Username: | 


copyright (C) 28 


See http :/ /WWwW.1 Password: | 


Tue Jul 26 15:18 
CConn: connected to host 192.168.100.254 port 5903 图 11.4-1、 在 


Linux 客户 端 执行 vncviewer 程序 示意 


在 上 图 当中 输入 刚刚 的 root 的 VNC 联机 密码 ， 请 注意 喔 ， 是 VNC 的 联机 密码 ， 而 不 是 root 
的 登入 密码 | 这 两 者 是 差 很 多 的 ! 也 由 于 启动 VNC 的 身份 是 root， 因 此 这 里 才 使 用 root 的 
VNC 联机 密码 。 所 以 ， 很 多 时 刻 ， 我 们 都 是 建议 使 用 一 般 身份 来 启动 VNC server 的 啦 ! 当 
你 输入 正确 的 VNC 联机 密码 后 ， 会 出 现 如 下 的 图 示 史 : 


证 讲 用 程式 位置 系统 蒋 的 国 章 天 呈 鲁 


root@clientlinux:~ 
档案 (FE) 编辑 (E) 检视 (V) 搜寻 (5S) 樵 端 楼 (T) 求助 (H) pos 


Installing : tigervnc-1.0.90-0.10.20100115svn3945.el6.x86 64 
VgerVNC: www.centos.vbird:3 (root) 


全 Applications Places System 2 23 


Preferred Web Browser 
区- 厅 Browse the Web 


Computer 


root's Home 


人 





11.4-2、 在 Linux 客户 端 执 行 vncviewer 程序 示意 


与 以 前 的 VNC server 较 大 的 差异 ， 在 CentOS 6.x 当中 ，tigervnc-server 这 套 软 件 会 主动 的 
依据 服务 器 端的 图 形 接 口 登入 方式 给 巴 正 确 的 图 形 显示 接口 ， 而 不 是 以 前 那样 给 予 一 个 斑斑 

的 twm 而 已 ! 这 样 我 们 就 可 以 减少 还 得 要 修改 一 些 有 的 没有 的 配置 文件 了 ! 卜 是 棒 | 联机 

成 功 后 ， 请 在 客户 端 关闭 这 个 vncviewer 的 联机 ， 因 为 接 下 来 我 们 要 准备 由 Windows 联机 到 
服务 器 的 port 5903 史 ! 


e。 Windows 客户 端 程序 : realvnc 


9 - 可 “六 | ， /; 禾 记 世 ， 有 人 入 怠 加 沁 和 镶 第 二 山 
可 的 Linux 检 房 米 ,. /人 服务 蔓 宁 人 仅 虱 外 二 的 


Windows 底下 可 用 的 vnc client 软件 不 少 ， 但 是 鸟 哥 比较 熟悉 的 是 realvnc 这 家 公司 出 品 的 
GNU 的 自由 软件 ! 你 可 以 在 底下 的 连结 下 载 到 最 简单 的 版 本 ， 是 不 用 钱 的 自由 软件 版 本 喔 ! 
( 鸟 哥 仅 下 载 不 用 安装 的 viewer 版 本 而 已 ! ) 


e http://www.realvnc.com/download.html 


直接 执行 vnc-viewer 软件 ， 然 后 就 会 看 到 如 下 的 画面 : 


VNC® ep Edition for Windows 
www,realvnc,com for more information on 





VNC Server: | 192, 168,100,254:3| 


Encryption: |Let VNC Server choose ba 


示意 图 








图 11.4-3、Windows Real VNC 客户 端 联机 


如 上 图 所 示 ， 你 在 server 字段 填 上 IP:port 的 数据 即 可 ， 然 后 按 下 TOKJ 吧 |! 





VNC Server: 192,168,100,254:3 
Va Username': | 


Password: |eeeeee 





图 11.4-4、Windows Real VNC 客户 端 联机 示 
意图 


由 于 VNC server 需要 的 仅 是 联机 的 VNC 密码 而 已 ， 因 此 上 图 中 的 Username 可 以 不 用 十 ， 
老实 说 ， 这 个 程序 它 也 不 会 让 你 十 一 呵呵 ! 填 完 按 下 『OKJ 即 可 ! 接 下 来 就 会 出 现 正确 的 画 
面 史 | 


11.4 华丽 的 图 形 接口 : VNC 服务 器 392 





Va www.centos.vbird:3 (root) - VNC Viewer 
便 Applications Places system 芭蕉 


十 


Computer 





~ 


root's Home 





图 11.4-5、Windows Real 
VNC 客户 端 联机 示意 图 


11.4.3 VNC 搭配 本 机 的 Xdmcp 画面 


如 果 因 为 某 些 特殊 因素 ， 你 得 要 使 用 VNC 来 搭配 xdmcp 的 输出 时 ， 那 就 直接 在 服务 器 透 过 
底下 的 指令 来 处 理 即 可 | 要 注意 喔 ， 你 必须 要 已 经 启动 了 xdmcp 了 唱 1 而且， 我 们 底下 使 用 
student 的 身份 来 启动 这 个 VNC 吧 | 


# 1\， 要 确定 xdmcp 已 经 启动 了 才 可 以 : 

[root@www ~]# netstat -tlunp &#124; grep 177 

udp 0 0 0.0.0.0:177 0 OOROs 1734/gdm-binary 

# OK 的 ! 确实 有 启动 的 啦 ! 如 果 没 有 看 到 177 的 话 ， 回 到 [11.3](#xdmcp) 去 处 理 处 理 


# 2\， 切换 成 student ， 并 且 启 动 VNC server 在 :5 
[root@www ~]# su - student 

[student@www ~]$ vncserver :5 -query localhost 

You will require a password to access your desktops. 


Password: 
Verify: 
xauth: creating new authority file /home/student/.Xauthority 


New 'www.centos.vbird:5 (student)' desktop is www.centos.vbird:5 


Creating default startup script /home/student/.vnc/xstartup 
Starting applications specified in /home/student/.vnc/xstartup 
Log file is /home/student/.vnc/www.centos.vbird:5.10g 


# 3\， 取 消 xstartup 的 启动 内 容 

[student@www ~]$ vim /home/student/.vnc/xstartup 

,.,. (前 面 省 略 ) ,，,， 

#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" & 
#twm & 

# 将 这 个 档案 的 内 容 ， 全 部 都 加 上 # 批注 掉 


# 4\， 重 新 启动 vncserver 喔 ! 
[student@www ~]$ vncserver -kill :5 
[student@www ~]$ vncserver :5 -query localhost 


接 下 来 请 使 用 root 的 身份 加 入 5905 的 端口 防火 墙 规则 ， 然 后 自行 使 用 Linux 的 vncviewer 
或 Windows 的 RealVNC 来 联机 ， 你 就 会 发 现 如 下 的 画面 : 


Va www.centos.vbird:5 (student) 
过 Applications Places System 大 去 








root@WWwWwW:~ 


File Edit View Search Terminal Help 


[root @ww 六 # 国 


图 11.4-6、 透 过 
VNC 通道 取得 xdmcp 画面 


我 们 这 只 VNC 的 联机 程序 是 student 身份 ， 但 是 我 们 却 可 以 透 过 xdmcp 的 登入 功能 来 登入 
root 身份 喔 ! 因为 在 服务 器 上 面 的 Xvnc 程序 是 student 拥有 ， 这 样 会 比较 好 啦 1 了 解 呼 ? 


11.4.4 开机 就 启动 VNC server 的 方法 


请 注意 ， 你 不 要 将 vncserver 的 指令 写 入 在 /etc/rc.d/rc.local 中 ， 否 则 可 能 会 产生 localhost 无 
法 登入 的 问题 。 那 该 如 何 让 你 的 VNC server 在 一 开机 就 启动 而 不 须要 登入 执行 指令 呢 ? 可 
以 的 ， 但 是 你 得 要 修改 一 下 配置 文件 。 我 们 底下 使 用 student 的 身份 启动 VNC server ;而 启 
动 的 方式 为 使 用 xdmcp 登入 画面 ， 启 动 的 堆 口 就 定 在 5901 好 了 。 那 你 应 该 这 样 作 : 


[root@www ~]# vim /etc/sysconfig/vncservers 
VNCSERVERS="1:student" 
VNCSERVERARGS[1]=" -query localhost" 

# 上 述 两 行 的 1 指 的 就 是 那个 埠 口 5901 喔 ! 要 注意 | 


[root@www ~]# /etc/init.d/vncserver restart 
[root@www ~]# chkconfig vncserver on 


有 够 好 简单 吧 ! 这 样 每 次 开机 就 搞定 你 的 VNC server 虽 ! 


11.4.5 同步 的 VNC : 可 以 透 过 图 示 同 步 教学 


另外 ， 有 些 朋 友 一 定 会 觉得 奇怪 ， 那 就 是 ， 为 甚么 我 的 VNC 服务 器 的 server / client 端 画面 
并 不 是 同步 的 呢 ? 这 是 因为 Linux 本 身 提 供 多 个 VNC server ， 她 们 是 各 自 独立 的 ， 所 以 当然 
就 不 会 与 tty7 的 画面 同步 了 。 但 是 如 果 你 想 要 与 Linux 的 tty7 同步 的 话 ， 可 以 利用 VNC 释 
出 的 给 X Server 使 用 的 模块 来 加 以 设 定 即 可 。 


那 使 用 这 个 模块 有 甚么 好 处 啊 ? 就 是 可 以 让 两 个 图 形 接口 在 server/client 都 是 一 样 的 ， 所 
以 ， 如 果 你 ee 0 ， 那 就 可 以 透 过 这 个 机 制 来 处 理 ， 你 的 朋友 在 远 
程 就 能 够 知道 你 一 进行 的 过 程 ! 这 样 很 不 赖 吧 ! 详细 的 作法 可 以 参考 底下 的 连结 : 


e http://phorum.study-area.org/viewtopic.php?t=25713 


我 们 也 来 实 做 一 下 吧 (在 CentOS 6.x 当中 并 没有 xorg.conf 这 个 配置 文件 喔 ! 所 以 ， 如 果 你 
要 使 用 这 些 数据 的 话 ， 丽 怕 得 要 自行 使 用 X -configure 去 建 置 xorg.conf 后 ， 再 挪 到 
/etc/X11/ 去 ， 然 后 才 改 的 到 设 定 1 ) : 


[root@www ~]# yum install tigervnc-server-module 
[root@www ~]# vim /etc/X11/xorg.conf 
Section "Screen" 

Identifier "Screeng" 


Device "Videocardg0" 
DefaultDepth 24 
# VBird 


Option "passwordFile" "/home/student/.vnc/passwd" 
SubSection "Display" 
Viewport 90 0 
Depth 24 
EndSubSection 
EndSection 


# VBird 

Section "Module" 
Load "vnc" 

EndSection 

; 假设 你 的 vnc 密码 档案 放置 在 /home/student/.vnc/passwd 里 头 ， 
这 个 时 候 就 得 要 将 密码 文件 内 容 写 到 Screen 这 个 section 当中 了 


[root@www ~]# init 3 ; init 5 


[root@www ~]# netstat -tjlunp &#124; grep X 

tcp 0 © 0.0.0.0:5900 0.0.0.0:* LISTEN 7445/Xorg 
tcp 0 0 0.0.0:6000 Ys 日 90.01:* LISTEN 7445/Xorg 
tcp 0 0 :6000 5 LISTEN 7445/Xorg 
# 注意 看 喔 ! 这 几 个 port pe PID 都 一 样 虹 ! 所 以 会 启动 一 个 port 5900 嘿 ! 


OO A nae Wa re rages 

后 你 可 以 看 一 下 客户 端 与 郴 知 疯 的 国 形 入 忆 休会 必 现下 次 者 移动 员 相 时 两 尖 的 剖 曾 
会 同步 步 运作 喔 ! 非常 有 趣 呢 ! 只 不 过 这 个 动作 还 是 只 允许 一 条 VNC 联机 ， 不 能 让 所 有 客户 
端 都 连 到 port 5900 ， 这 申 是 太 可 惜 了 | 


11.5 仿 站 的 远程 桌面 系统 : XRDP 服务 器 


使 用 上 面 的 图 形 接口 的 联机 服务 器 都 有 一 个 问题 ， 除 了 联机 机 制 的 不 同 之 外 ， 上 头 的 Xdmcp 
与 VNC 原则 上 ， 资 料 都 没有 加 密 。 因此 上 面 的 动作 大 多 仅 适合 局 域 网 络 内 运作 ， 不 要 连 上 
Internet 比较 好 。 那 如 果 你 趴 的 想 要 透 过 加 密 的 方式 运作 VNC ， 那 可 能 得 要 透 过 下 一 小 节 的 
介绍 才能 够 有 好 的 处 理 结果 。 那 么 我 们 知道 Windows 的 远程 桌面 (Remote Desktop Procotol， 
RDP, 注 7) 其 实 是 具有 联机 加 密 功 能 的 ， 所 以 ， 能 不 能 在 Linux 上 面 装 一 个 RDP Server 呢 ? 
是 可 以 的 ， 那 就 是 XRDP 服务 器 ( 注 8) 。 


很 可 惜 的 是 ， 我 们 的 CentOS 6.x 预 设 并 没有 提供 XRDP 的 服务 器 ， 如 果 你 有 兴趣 的 话 ， 可 
以 自行 编译 xrdp 软件 ， 但 鸟 哥 有 找到 Fedora 基金 会 提供 的 RHEL 额外 软件 计划 ( 注 9)， 你 
可 以 到 底下 的 连结 去 找到 你 对 应 的 版 本 : 


e http://download.fedora.redhat.com/pub/epel/ 


鸟 哥 还 是 觉得 yum 是 好 东西 ， 因 此 乌 哥 找到 的 CentOS 6.x x86_64 版 本 的 网 址 后 ， 将 它 设 定 
在 yum 配置 文件 内 ， 就 可 以 使 用 yum 安装 了 : 


[root@www ~]# vim /etc/yum.repos.d/fedora epel.repo 

[epel] 

name=CentOS-$releasever - Epel 
baseurl=http://download.fedora.redhat .com/pub/epel/6/x86_64/ 
gpgcheck=0 

enabled=1 


[root@www ~]# yum clean all 
[root@www ~]# yum install xrdp 


这 样 就 安装 好 了 xrdp 软件 了 ， 接 着 下 来 就 得 要 开始 来 设 定 它 虽 1! 老实 说 ， 在 一 般 的 主机 上 面 
安装 好 这 个 xrdp 之 后 ， 你 根本 不 需要 调整 任何 配置 文件 ， 保 留 好 配置 文件 就 好 了 ， 然 后 启动 
它 ， 并 且 设 定 开机 后 启动 ， 未 来 只 要 用 远程 联机 连 到 这 部 主机 ， 系 统 就 会 启动 5910~5920 以 
上 的 VNC 埠 口 ， 然 后 你 就 能 够 透 过 RDP 的 协议 取得 VNC 的 画面 ， 最 后 就 能 够 登入 系统 

哩 |! 


[root@www ~]# /etc/init.d/xrdp start 

[root@www ~]# chkconfig xrdp on 

[root@www ~]# netstat &#124; grep xrdp 

tcp 0 0ET270R0ET 3350RODOROSOTD LISTEN 6615/xrdp-sesman 
tcp 0 © 0.0.0.0:3389 0.0.0.0:* LISTEN 6611/xrdp 

# 远程 桌面 的 堆 口 是 3389 ， 但 是 xrdp 会 再 连 到 本 机 的 3359 去 唤醒 一 个 VNC 的 联机 。 

# 但 是 尚未 联机 之 前 ， 并 不 会 起 动 任何 的 VNC 埠 口 就 是 了 。 


如 果 你 是 使 用 Windows 系统 ， 那 么 透 过 『 开 始 」--> 『 程 序 集 」-->『 附 属 应 用 程序 」-->『 远 
程 桌面 联机 J」 ， 在 出 现 的 画面 中 输入 这 部 xrdp 服务 器 的 IP 之 后 ， 如 果 顺 利和 连 上 就 会 出 现 如 
下 的 画面 : 


Module [sesman-xvnc | 
username [root 
password [ee 


连 上 服务 器 的 XRDP 










192-168-100-254 D) Tue Jul 26, 4:11 PM root 


root@wWwwWw: 
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Mt ot al 90392 
Computer ene 1 root root 1485 Jul 14 00: 31 anaconda- ks. cfg 
drwxr- xr-x. 2 root root 4096 Jul 22 16:14 bin 
-TWr--r--. 1 root root 10485760 Jul 25 11:48 dd 10rb file 
drvxr- xr-x. 2 root root 4096 J ul 25 18: 36 Desktop 
pe dr vr - Xr- X. 2 TOOt root 4096 J ul 25 18: 36 Docunents 
drwr- xr-x. 2 root root 4096 Jul 25 18: 36 Downl oads 
[mu TW rwr--. 1 student student 215778 Jul 18 00:36 e1000-8.0.30.tar.gz 
-TWIr--T--. 1 root root 5493180 Jul 25 11:42 findl.log 
-FWr--r--. 1 root root 189 J ul 20 17: 29 hosts 
-TWTr--T--. 1 root root 26542 Jul 14 00: 30 install.log 
1 root root 7878 J ul 14 00:27 install.|og.syslog 
1 root root 374 Jul 22 15: 56 iptables 1 
drvwxr- xr-x. 2 root root 4096 Jul 18 16: 36 1ftp 
1 root root 76096559 May 19 12: 21 1inux-2. 6. 39.tar. bz2 
drvxr- xr- x. 2 root root 4096 J ul 25 18: 36 Musi c 
1 root root 134188 jun 6 11: 22 noip- duc-linux.tar. gz 
drvwxr- xr- x. 2 root root 4096 J ul 25 18: 36 Pi ct ures 
drvxr- xr-x. 2 root root 4096 Jul 25 18: 36 Publ ic 








图 11.5-2、 连 上 服务 器 的 XRDP 服务 后 ， 会 出 现 的 联机 信息 


输入 正确 的 账号 密码 ， 嘿 嘿 1 搞定 ! 画面 就 出 现 嚼 ! 如 果 你 还 想 要 更 进一步 的 了 解 xrdp 的 配 
置 文件 ， 那 么 请 到 /etc/xrdp/ 目录 底下 瞧 瞧 ， 然 后 再 透 过 man 去 看 看 相关 的 配置 文件 信息 ， 
就 能 够 理解 设 定 值 嚼 ! 鸟 哥 测试 过 ， 不 用 修改 任何 设 定 ， 使 用 远程 桌面 就 已 经 很 顺畅 哆 1 


人 人 


不 过 你 要 注意 的 是 ， 因 为 xrdp 最 终 会 自动 启用 VNC ， 因 此 你 还 是 必须 要 安装 tigervnc- 
server 才 行 ! 否则 xrdp 应 该 还 是 无 法 运作 的 哆 ! 


11.6 SSH 服务 器 的 进 阶 应 用 


事实 上 ssh 站 的 很 好 用 ! 你 甚至 不 需要 启动 甚么 xdmcp, vnc, xrdp 等 等 服务 ， 使 用 ssh 的 加 
密 通 道 就 能 够 在 客户 端 启 动 图 形 接口 ! 此 外 ， 我 们 知道 很 多 服务 都 是 没有 加 密 的 ， 那 么 人 

能 将 这 些 服 务 透 过 ssh 通道 来 加 密 呢 ?嘿嘿 1 当然 是 可 以 1! 在 这 个 章节 当中 ， sa 
一 些 ssh 的 进 阶 应 用 吧 ! 


11.6.1 启动 ssh 在 非 正 规 堆 口 ( 非 port 22) 


从 前 面 的 章节 里 面 我 们 就 曾经 提 过 ， sshd 这 个 服务 其 实 并 不 是 很 安全 ， 所 以 很 多 ISP 在 入 口 
处 就 已 经 将 port 22 关闭 了 ! 为 什么 要 这 么 作 呢 ? 这 是 因为 很 多 网 站 管理 员 并 没有 定期 的 进行 
软件 update ， 而 且 为 了 方便 ， 又 很 开心 的 将 port 22 对 全 世界 开放 。 由 于 很 多 cracker 会 使 

用 扫描 程序 乱 扫 整个 Internet 的 夫 口 漏洞 ， 这 个 port 22 就 是 一 个 很 常 被 扫描 的 端口 啦 ! 为 了 
杜绝 这 个 问题 ， 所 以 |SP 先 帮 你 把 关 ， 先 将 port 22 关闭 ! 这 也 是 为 了 整个 区 网 好 | 


只 是 ， 像 岛 哥 这 种 没有 ssh 就 快要 活 不 下 去 的 人 ， 关 闭 了 port 22 那 鸟 哥 的 头 都 痛 了 |! 没有 办 
法 工作 啊 | 那 怎 办 ? 没关系， 其 实 我 们 可 以 将 ssh 开放 在 非 正 规 的 夫 口 。 如 此 一 来 ， 
cracker 不 会 扫描 到 该 端口 ， 而 你 的 |SP 又 没有 对 该 堆 口 进行 限制 ， 那 你 就 能 够 使 用 ssh 虽 ! 
很 棒 吧 ! 那 就 来 试看 看 。 我 们 底下 将 ssh 开放 在 port 22 及 port 23 试看 看 (请 注意 ，port 23 
不 能 够 有 被 使 用 喔 | ) 。 


。 设 定 ssh 在 port 22 及 23 两 个 堆 口 的 设 定 方式 


[root@www ~]# vim /etc/ssh/sshd_config 
Port 22 
Port 23 &1lLt;== 注 意 喔 ! 要 有 两 个 Port 的 设 定 才 行 ! 


[root@www ~]# /etc/init.d/sshd restart 


但 是 这 一 版 的 CentOS 却 将 SSH 规范 port 仅 能 启动 于 22 而 已 ， 所 以 此 时 会 出 现 一 个 
SELinux 的 错误 ! 那 怎 办 ? 没关系 ， 根 据 setroubleshoot 的 提示 ， 我 们 必须 要 自行 定义 一 个 
SELinux 的 规则 放行 模块 才 行 ! 有 没有 很 难 呢 ?其实 还 算 简单 ! 整体 流程 是 这 样 的 : 


# 1\， 于 /var/log/audit/audit.1log 找 出 与 Ssh 有 关 的 AVC 信息 ， 并 转 为 本 地 模块 

[root@www ~]# cat /var/log/audit/audit.1log &#124; grep AVC &#124; grep ssh &#124; \ 
&gt; audit2allow -m sshlocal &gt; sshlocal.te &lt;== 扩 展 名 要 是 .te 才 行 

[root@www ~]# grep sshd_t /var/log/audit/audit.10og &#124; \ 

&gt; audit2allow -M sshlocal &1lt;==sshlocal 就 是 刚刚 建立 的 .te 档 名 

尖 尖 人 IMPORTANT 类 类 类 类 火炎 火炎 炎炎 炎炎 类 炎炎 火炎 炎炎 火炎 炎炎 

To make this policy package active, execute: 

semodule -i sshlocal.pp  ”&lt;== 这 个 指令 会 编译 出 这 个 重要 的 .pp 模块 | 


# 2\， 将 这 个 模块 加 载 系统 的 SELinux 管理 当中 ! 
[root@www ~]# semodule -i sshlocal.pp 


# 3\， 再 重新 启动 sshd 并 且 观 察 埠 口 吧 ! 
[root@www ~]# /etc/init.d/sshd restart 
[root@www ~]# netstat -tlunp &#124; grep ssh 


tcp 0 © 0.0.0.0:22 0.0.0.0:* LISTEN 7322/sshd 
tcp 0 © 0.0.0.0:23 0SOSORO: LISTEN 7322/sshd 
tcp 0 0 :1 :22 8 LISTEN 7322/sshd 
tcp 0 O023, Bo LISTEN 7322/sshd 


有 没有 很 简单 ! 这 样 你 就 能 够 使 用 port 22 或 port 23 联机 到 你 的 sshd 服务 喔 ! 
。 非 正 规 夫 口 的 联机 方式 


由 于 预 设 的 ssh, scp, sftp 都 是 连接 到 port 22 的 ， 那 么 如 何 使 用 这 些 指 令 联 机 到 port 23 呢 ? 
我 们 使 用 ssh 当 练 习 好 了 : 


[root@www ~]# ssh -p 23 root@localhost 

root@localhost's password: 

Last login: Tue Jul 26 14:07:41 2011 from 192.168.1.101 

[root@www ~]# netstat -tnp &#124; grep 23 

ECP O00 :23 ::1:56645 ESTABLISHED 7327/2 
eno L56645 R23 ESTABLISHED 7326/ssh 
# 因为 网 络 是 双向 的 ， 因 此 自己 连 自己 (localhost)， 就 会 抓 到 两 只 联机 |! 


这 样 ， 你 就 能 够 避 过 一 些 |SP 或 者 是 cracker 的 扫描 了 ! 注意 一 下 ， 不 要 将 port 开放 在 某 些 
既 知 的 埠 口 上 ， 例 如 你 开放 在 port 80 的 话 ， 那 你 就 没有 办 法 启动 正常 的 WWW 服务 啦 ! 注 


2 
意 注 意 | 


11.6.2 以 rsync 进行 同步 镜像 备份 


oY 曾 在 基础 篇 第 三 版 第 二 十 五 章 里 头 谈 到 Linux 的 备份 策略 ， 该 篇 曾 介 绍 常 用 的 备份 指 

包括 tar, dd, cp 不 过 当时 并 未 介绍 网 络 ， 所 以 有 个 很 棒 的 网 络 工具 没有 介绍 ， 那 
oa 的 rsync 啦 ! 这 个 rsync 可 以 作为 一 个 相当 棒 的 异地 备 援 系统 的 备份 指令 
喔 ! 因为 rsync 可 以 达到 类 似 『 镜 相 (mirror) J 的 功能 呢 ! 


rsync 最 早 是 想 要 取代 rcp 这 个 指令 的 ， 因 为 rsync 不 但 传输 的 速度 快 ， 而 且 他 在 传输 上 时， 可 
以 比 对 本 地 端 与 远程 主机 欲 复 制 的 档案 内 容 ， 而 仅 复制 两 端 有 差异 的 档案 而 已 ， 所 以 传输 的 
时 间 就 相对 的 降低 很 多 ! 此 外 ，rsync 的 传输 方式 至 少 可 以 透 过 三 种 方式 来 运作 : 


e 在 本 机 上 直接 运作 ， 用 法 就 与 cp 几乎 一 模 一 样 ， 例 如 : rsync -av /etc /tmp (将 /etc/ 的 
数据 备份 到 /tmp/etc 内 ) 


。 透 过 rsh 或 ssh 的 信道 在 server /client 之 间 进 行 数据 传输 ， 例 如 : rsync -av -e ssh 
user@rsh.server:/etc /tmp (将 rsh.server 的 /etc 备份 到 本 地 主机 的 /tmp 内 ) 


。 直接 透 过 rsync 提供 的 服务 (daemon) 来 传输 ， 此 时 rsync 主机 需要 启动 873 port : 1. 
你 必须 要 在 server 端 启 动 rsync ， 看 /etc/xinetd.d/rsync 即 可 ; 2. 你 必须 编辑 
/etc/rsyncd.conf 配置 文件 ; 3. 你 必须 设 定好 client 端 联机 的 密码 数据 ; 4. 在 client 端 可 
以 利用 : rsync -av user@hostname::/dir/path /local/path 


其 实 三 种 传输 模式 差异 在 于 有 没有 冒号 (:) 而 已 ， 本 地 端 传 输 不 需要 冒号 ， 透 过 ssh 或 rsh 
时 ， 就 得 要 利用 一 个 冒号 (:)， 如 果 是 透 过 rsync daemon 的 话 ， 就 得 要 两 个 冒号 (::)， 应 该 
不 难 理解 啦 ! 因为 本 地 端 处 理 很 简单 ， 而 我 们 的 系统 本 来 就 有 提供 ssh 的 服务 ， 所 以 ， 底 下 
鸟 哥 将 直接 介绍 利用 rsync 透 过 ssh 来 备份 的 动作 喔 。 不过， 在 此 之 前 咱们 先 来 看 看 rsync 
的 语法 吧 ! 


[root@www ~]# rsync [-avrlptgoD] [-e ssh] [user@host:/dir] [/local/path] 
选项 与 参数 : 
-V :观察 模式 ， 可 以 列 出 更 多 的 信息 ， 包 括 镜像 时 的 档案 档 名 等 ; 
-qd :与 -Vv 相反 ， 安 静 模式 ， 咯 过 正常 信息 ， 仅 显示 错误 讯息 ; 
-Fr :递归 复制 ! 可 以 针对 『 目 录 J 来 处 理 ! 很 重要 1 
-U : 仅 更 新 (update)， 若 目标 档案 较 新 ， 则 保留 新 档案 不 会 覆盖 ; 
-1] :复制 链接 文件 的 属性 ， 而 非 链接 的 目标 源 文件 内 容 ; 
-p :复制 时 ， 连 同属 性 (permission) 也 保存 不 变 ! 
-g :保存 源 文件 的 拥有 群 组 ; 
-0 :保存 源 文件 的 拥有 人 ; 
-D :保存 源 文件 的 装置 属性 (device) 
-t :保存 源 文件 的 时 间 参 数 ; 
-I : 忽略 更 新 时 间 (mtime) 的 属性 ， 档 案 比 对 上 会 比较 快速 ; 
-Z :在 数据 传输 时 ， 加 上 压缩 的 参数 ! 
-e :使 用 的 信道 协议 ， 例 如 使 用 ssh 通道 , 则 -e ssh 
: 相当 于 -rlptgoD ， 所 以 这 个 -a 是 最 常用 的 参数 了 | 
更 多 说 明 请 青 参 考 man rsync 的 解说 ! 


# 1\， 将 /etc 的 数据 备份 到 /tmp 底下 : 
[root@www ~]# rsync -av /etc /tmp 
. . (前面 省 略 ) ,,.. 
Sent 21979554 bytes received 25934 bytes 4000997 .82 bytes/sec 
total size is 21877999 speedup is 0.99 
[root@www ~]# 11 -d /tmp/etc /etc 
drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /etc 
drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /tmp/etc &1lLt;== 瞧 ! 两 个 目录 一 样 ! 
# 第 一 次 运作 时 会 花 比较 和 久 的 时 间 ， 因 为 首次 建立 嘛 ! 如 果 再 次 备份 呢 ? 


[root@www ~]# rsync -av /etc /tmp 

Sent 55716 bytes received 240 bytes 111912.00 bytes/sec 
total size is 21877999 speedup is 390.99 

# 比较 一 下 两 次 rsync 的 传输 与 接受 数据 量 ， 你 就 会 发 现 立刻 就 跑 完 了 ! 
# 传输 的 数据 也 很 少 ! 因为 再 次 比 对 ， 仅 有 差异 的 档案 会 被 复制 。 


# 2\， 利 用 student 的 身份 登入 clientlinux.centos.vbird 将 家 目录 复制 到 本 机 /tmp 
[root@www ~]# rsync -av -e ssh student@192.168.100.10:~ /tmp 
student@192.168.100.10's password: &1t;== 输 入 对 方 主机 的 Student 密码 
receiving file list ... done 
student/ 
student/.bash_ logout 

, (中 间 省 略 ) ,,,， 
Sent 110 bytes received 697 bytes 124.15 bytes/sec 
total size is 333 Speedup is 0.41 


[root@www ~]# 11 -d /tmp/student 
drwx------ . 4 student student 4096 Jul 26 16:52 /tmp/student 
# 瞧 ! 这 样 就 做 好 备份 啦 ! 很 简单 吧 ! 


你 可 以 利用 上 面 的 范例 二 来 做 为 备份 script 的 参考 ! 不 过 要 注意 的 是 ， 因 为 rsync 是 透 过 ssh 
来 传输 数据 的 ， 所 以 你 可 以 针对 student 这 个 家 伙 制 作出 免 用 密码 登入 的 ssh 密 钥 ! 如 此 一 
来 往 后 异地 备 援 系统 就 能 够 自动 的 以 crontab 来 进行 备份 了 |! 简单 到 爆 ! 


免 密码 的 ssh 账号 我 们 在 上 头 已 经 讲 过 了 ， 撰 写 shell script 的 能 力也 是 必须 要 有 的 ! 利用 
rsync 来 进行 你 的 备份 工作 吧 ! ^ 和 1 至 于 更 多 的 rsync 用 法 可 以 参考 本 章 后 面 所 列 出 的 参考 
网 站 ( 注 10) 曝 ! 


: 在 clientlinux.centos.vbird (192.168.100.10) 上 面 ， 使 用 vbirdtsai 的 身份 建立 一 只 
， 这 只 脚本 可 以 在 每 天 的 2:00am 主动 的 以 rsync 配合 ssh 取得 www.centos.vbird 
(192.168.100. 的 /etc, /root, /home 三 个 目录 的 镜像 到 clientlinux.centos.vbird 的 
/backups/ 底下 。 答 : 由 于 必须 要 透 过 ssh 通道 ， 且 必须 要 使 用 crontab 例 行 工 作 排 程 ， 因 此 


肯定 要 使 用 密 钥 系统 的 免 密码 账号 。 我 们 在 11.2.6 小 节 已 经 谈 过 相关 作法 ，vbirdtsai 已 经 有 
公 负 与 私 钥 档案 ， 因 此 不 要 再 使 用 ssh-keygen 了 ， 直 接 将 公 钥 档案 复制 到 
www.centos.vbird 的 /root/.ssh/ 底下 即 可 。 实际 作法 可 以 是 这 样 的 : 


# 1\. 在 clientlinux.centos.vbird 将 公 钥 档 复制 给 www.centos .vbird 的 root 
[vbirdtsia@clientlinux ~]$ scp ~/.ssh/id_rsa.pub root@192.168.100.254:~ 


# 2\， 在 www.centos.vbird 上 面 用 root 建 置 好 authorized_keys 

[root@www ~]# 1s -ld id_rsa.pub .ssh 

-rw-r--r--. 1 root root 416 Jul 26 16:59 id_rsa.pub &lLt;== 有 公 乌 档 
drwx------ .2 root root 4096 Jul 25 11:44 .ssh &lLt;== 有 ssh 的 相关 目录 


[root@www ~]# cat id_rsa.pub &gt;&gt; ~/.ssh/authorized_ keys 
[root@www ~]# chmod 644 ~/.ssh/authorized_keys 


# 3\. 在 clientlinux.centos.vbird 上 面 撰写 script 并 测试 执行 : 
[vbirdtsai@clientlinux ~]$ mkdir ~/bin ; vim ~/bin/backup_www.sh 
#!/bin/bash 

localdir=/backups 

remotedir="/etc /root /home" 

remoteip="192.168.100.254" 


[ -d ${localdir} ] &#124;&#124; mkdir ${localdir} 
for dir in ${remotedir} 
do 
rsync -av -e ssh root@${remoteip}:${dir} ${localdir} 
done 


[vbirdtsai@clientlinux ~]$ chmod 755 ~/bin/backup_www.sh 
[vbirdtsai@clientlinux ~]$ ~/bin/backup_www.sh 

# 上 面 在 测试 啦 ! 第 一 次 测试 可 能 会 失败 ， 因 为 鸟 哥 忘记 /backups 需要 root 
# 的 权限 才能 够 建立 。 所 以 ， 请 您 再 以 root 的 身份 去 mkdir 及 setfacl 吧 ! 


# 4\， 建 立 crontab 工作 
[vbirdtsai@clientlinux ~]$ crontab -e 
0 2* * * /home/vbirdtsai/bin/backup_www.sh 


11.6.3 透 过 ssh 通道 加 密 原 本 无 加 密 的 服务 


现在 我 们 知道 ssh 这 个 通道 可 以 加 密 ， 而 有 全 ， 我 们 更 知道 rsync 默认 已 经 可 以 透 过 ssh 通道 
来 进行 加 密 。 既然 如 此 ， 那 么 其 他 的 服务 能 不 能 透 过 这 个 ssh 进行 数据 加 密 
来 传送 信息 呢 ? 当然 可 以 ! 很 棒 呢 这 个 功能 ! 要 介绍 实 做 之 前 ， 我 们 先 用 图 示 来 谈 一 下 作 
法 。 


忆 


假设 服务 器 上 面 有 尼 动 了 VNC 服务 在 port 5901 ， 客 户 端 则 使 用 vncviewer 要 联机 到 服务 器 
上 的 port 5901 就 是 了 。 那 现 在 我 们 在 客户 端 计算 机 上 面 启动 一 个 5911 的 堆 口 ， 然 后 再 透 过 
本 地 端的 ssh 联机 到 服务 器 的 sshd 去 ， 而 服务 器 的 sshd 再 去 连接 服务 器 的 VNC port 5901 
。 整 个 联机 的 图 示 如 下 所 示 : 








如 密 





服务 器 端 客户 讽 图 11.6-1、 透 过 本 地 端的 ssh 加 密 联 机 到 远 
程 的 服务 器 示意 图 


假设 你 已 经 透 过 上 述 各 个 小 节 建 立 好 服务 器 J centos.vbird) i VNC port 5901 ， 而 
客户 端 则 没有 启动 任何 的 VNC 埠 口 。 那 么 你 该 如 何 透 过 ssh 来 进行 加 密 呢 ?很 简单 ， 你 可 
以 在 客户 端 计算 机 (clientlinux.centos.vbird) 执行 底下 的 指令 


[root@clientlinux ~]# ssh -L 本 地 埠 口 :127.0.0.1: 远 程 端口 [-N] 远程 主机 
选项 与 参数 : 

-N : 仅 启 动 联机 通道 ， 不 登入 远程 sshd 服务 器 

本 地 夫 口 : 就 是 开启 127.,0.0,1 上 面 一 个 监听 的 埠 口 

远程 堆 口 : 指定 联机 到 后 面 远程 主机 的 sshd 后 ，sshd 该 连 到 哪个 雹 口 进行 传输 


# 1\， 在 客户 端 启动 所 需要 的 端口 进行 的 指令 
[root@clientlinux ~]# ssh -L 5911:127.0.0.1:5901 -N 192.168.100.254 
root@192.168.100.254's password: 

&1t ;== 登 入 远程 仅 是 开启 一 个 监听 埠 口 ， 所 以 停止 不 能 动作 


# 2\， 在 客户 端 在 另 一 个 终端 机 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 查阅 而 已 
[root@clientlinux ~]# netstat -tnlp&#124; grep ssh 


imelon 0) 9 0.0.0.0:22 QQOEOSQOS LISTEN 1330/sshd 
tcp 0 0 eo Qa0sE: 0911 Buena LISTEN 3347/ssh 
tcp 0 0 :22 LISTEN 1330/sshd 


[root@clientlinux ~]# netstat -tnap&t#124; grep ssh 
tcp 0 © 192.168.100.10:55490 192.168.100.254:22 ESTABLISHED 3347/ssh 
# 在 客户 端 启 动 5911 的 埠 口 是 ssh 启动 的 ， 同 一 个 PID 也 联机 到 远程 喔 ! 


接 下 来 你 就 可 以 在 客户 端 (192.168.100.10, clientlinux.centos.vbird) 使 用 『 vncviewer 
localhost:5911 J 来 联机 ， 但 是 该 联机 却 会 连 到 www.centos.vbird (192.168.100.254) 那 部 主 
机 的 port 5901 喔 ! 不 相信 吗 ? 当 你 达成 VNC 联机 后 ， 到 www.centos.vbird 那 部 主机 上 面 
瞧 瞧 就 知道 了 : 


# 3\， 在 服务 器 端 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 查阅 而 已 

[root@www ~]# netstat -tnp &#124; grep ssh 

tcp 0 0127.0.0.1:59442 127.0.0.1:5901 ESTABLISHED 7623/sshd: root 
tcp 0 0 192.168.100.254:22 192.168.100.10:55490 ESTABLISHED 7623/sshd: root 
# 明显 的 看 到 port 22 的 程序 同时 联机 到 port 5901 喔 ! 


那 如 何 取消 这 个 联机 呢 ? 先 关闭 VNC 之 后 ， 然 后 再 将 clientlinux.centos.vbird 的 第 一 个 动作 


(ssh -L .….) 按 下 [ctrl]-c 就 中 断 这 个 加 密 通 道 喝 ! 这 样 会 使 用 了 吗 ? 你 可 以 将 这 个 动作 用 在 任 
何 服务 上 唱 ! 


11.6.4 以 ssh 信道 配合 X server 传递 图 形 接口 
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从 前 一 个 小 节 我 们 知道 ssh 可 以 进行 程序 的 加 密 传 递 ， 亦 即 ssh 通道 啦 ! 那么 可 不 可 以 用 在 
X 上 面 呢 ? 意思 是 说 ， 那 我 能 不 能 不 要 启动 其 么 很 复杂 的 接口 ， 就 是 在 原 有 的 接口 底下 使 用 
ssh 信道 ， 将 我 所 需要 的 服务 器 上 面 的 图 形 接口 传 过 来 就 好 了 ? 是 可 以 的 喔 ! 鸟 哥 用 一 个 
Windows 上 面 的 Xming X server 作 范 例 好 了 。 整 个 动作 是 这 样 的 : 


e 先 在 Windows 上 面 启动 XLaunch， 并 设 定好 联机 到 www.centos.vbird 的 相关 信息 ; 
e。 启动 Xming 程序 ， 会 取得 一 个 xterm 程序 ， 该 程序 是 www.centos.vbird 的 程序 ; 
e。 开始 在 xterm 上 面 执 行 X 软件 ， 就 会 在 Windows 桌面 上 面 显示 嘿 |! 


那 我 们 就 开始 来 处 理 一 下 Xming 这 个 程序 吧 | 启动 XLaunch 之 后 出 现下 图 模样 : 





OO 一 
MX Display settings 
Select display settings * 
Choose how Kming displays programs. 








© Multiple windows DS Fullscreen 

One window DS One window 
without titlebar 

Display number 0 





XLaunch 程序 -选择 显示 模式 


记得 上 图 中 要 选择 Multiple windows 会 比较 漂亮 喔 ! 然后 按 下 『 下 一 步 ] 会 出 现下 图 : 
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Choose session type and whether a client is started immediately. OO 










S Start no dient 


This will just start ,You will be able to start local cients |ater， 


图 start a program 


This will start a local or remote program which will connect to Xming, You will be able to 
start local clients later too, Remote programs are started using PUTTY /SSH, 


Open session via XDMCP 


This will start a remote XDMCP session, Starting local clients later is limited, This option 
is not available with the "Multiple windows" mode, 


XLaunch 程序 -选择 联机 方式 





图 11.6-3、 设 定 


让 


我 们 要 启动 一 只 程序 ， 并 且 是 开放 存 ssh/putty 之 类 的 软件 帮忙 进行 ssh 信道 的 建立 喔 ! 然 
下 一 步 吧 。 





an 


Enter or choose one X Client to Run Local or Run Remote 
The program chooser can be populated by adding Programl="a" to Programl0= 
to a contig.wlaunch fle. 





















Start program xterm v 
© Run Local 

Run Re 

图 Using PUTTY (plink,exe) © Using SSH (ssh,exe) With compression 
Connect to computer 192, 168, 100,254 

Login as User root 

Password (leave blank if using PuTTY pageant) 2908S8 





XLaunch 程序 - 设 定 远程 联机 的 相关 参数 


图 11.6-4、 设 定 


Xming 会 主动 的 启动 一 个 putty 的 程序 帮 你 连 进 sshd 服务 器 ， 所 以 这 里 得 要 帮忙 设 定 好 账号 
密码 的 相关 信息 。 乌 哥 这 里 假设 你 的 sshd 尚未 取消 root 登入 ， 因 此 这 里 使 用 root 的 权限 
喔 ! 
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Specify parameter settings 
Enter clipboard, remote font server, and all other parameters. 

















加 clipboard No Access Control 
start the integrated dipboard manager Disable Serwer pccess Control 
Remote font server (if any) 





Additional parameters for Xming 





Additional parameters for PUTTY or SSH 








= ZN 7 


XLaunch 程序 -是 否 支 持 复制 贴 上 功能 


图 11.6-5、 设 定 


使 用 默认 值 吧 ! 直接 下 一 步 。 





Configaration complete 4 
Choose whether to save your settings to am 和 XML file. 





Click Finish to start Xming, 


optional 






You may also 'Save confi on' for re-use {run automatically or alter via -oad option), 


Save configuration Indude PuTTY Password as insecure dear text 








XLaunch 程序 -完成 设 定 


图 11.6-6、 设 定 


很 简单 ! 这 样 就 完成 设 定 了 ! 请 按 下 完成 ， 你 就 会 看 到 Windows 的 桌面 竟然 出 现 如 下 的 图 示 
了! 
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Foot edie ”是 Linux 软 忻 喔 
[rootBwww “]# hostname 

www,centos,vbird 

[rootBwww ~]# 国 


是 Windows 系 统 喔 





ua 图 11.6-7、 
Windows 桌面 出 现 的 X client 程序 


上 面 这 只 程序 就 是 xterm 这 个 X 的 终端 机 程序 。 你 可 以 在 上 面 输入 指令 ， 该 指令 会 传送 到 
Linux server ， 然后 再 将 你 要 执行 的 图 形 数据 透 过 ssh 信道 传送 到 目前 的 Windows 上 面 的 
Xming ， 你 的 Linux 完全 不 用 启动 VNC, X, xrdp 等 服务 ! 只 要 有 sshd 就 搞定 了 ! 就 是 这 人 么 
简单 ! 例如 岛 哥 输入 几 个 游戏 程序 ， 你 的 Windows 窗口 (看 任务 栏 就 知道 了 ) 就 会 出 现 这 样 
的 情况 : 


Tips: 事实 上 ， 我 们 的 basic server 安装 方式 并 没有 帮 你 安装 xterm 喔 ! 所 以 ， 你 得 要 自己 安 
装 xterm 才 行 ! yum install xterm 就 安装 好 啦 | 然后 上 面 的 动作 再 重 来 一 次 ， 就 可 以 成 功 
嘿 1 而 底下 的 图 标 里 面 的 相关 软件 ， 也 是 需要 你 自己 安装 的 哆 1 ^ 人 和 ^ 
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11.6 SSH 服务 


11.7 重点 回顾 


。 远程 联机 服务 器 可 以 让 使 用 者 在 任何 一 部 计算 机 登入 主机 ， 以 使 用 主机 的 资源 或 管理 与 
维护 主机 ; 

e。 常见 的 远程 登录 服务 有 rsh, telnet, ssh, vnc, xdmcp 及 RDP 等 ; 

e telnet 与 rsh 都 是 以 明码 传输 数据 ， 当 数据 在 Internet 上 面 传输 时 较 不 安全 ; 

e。 ssh 由 于 使 用 密 钥 系统 ， 因 此 数据 在 Internet 上 面 传输 时 是 加 密 过 的 ， 所 以 较为 安全 ; 

e。 但 ssh 还 是 属于 比较 危险 的 服务 ， 请 不 要 对 整个 Internet 开放 ssh 的 可 登入 权限 ， 可 利 
用 iptables 规范 可 登入 范围 ; 

e Ssh 的 public Key 是 放 在 服务 器 端 ， 而 private key 是 放 在 client 端 ; 

e。 ssh 的 联机 机 制 有 两 种 版 本 ， 建 议 使 用 可 确认 联机 正确 性 的 version 2 ; 

e 使 用 ssh 时 ， 尽 量 使 用 类 似 email 的 方式 来 登入 ， 亦 即 : ssh username@hostname 

e client 端 可 以 比 对 server 传 来 的 public key 的 一 致 性， 利用 的 档案 为 
~user/.ssh/known_hosts ; 

e。 ssh 的 client 端 软件 提供 ssh, scp, sftp 等 程序 ; 

。 制作 不 需要 密码 的 ssh 账号 可 利用 ssh-keygen -t rsa 来 制作 public, private Key pair ; 

。 上 述 指 令 所 制作 出 的 public key 必须 要 上 传 到 server 的 ~user/.ssh/authorized keys 档 
案 中 ; 

。 Xdmcp 是 透 过 X display manager (xdm, gdm, kdm 等 ) 所 提供 的 功能 协议 ; 

。 若 client 端 为 Linux 时 ， 需 要 在 X 环境 下 以 xhost 增加 可 连接 到 本 机 XServer 的 IP 才 
行 ; 

。 除了 Xdmcp 之 外 ， 我 们 可 以 利用 VNC 来 进行 X 的 远程 登录 架构 ; 

。 VNC 预 设 开 的 port number 为 5900 开始 ， 每 个 port 仅 允 许 一 个 联机 ; 

e。 rsync 可 透 过 ssh 的 服务 通道 或 rsync --daemon 的 方式 来 联机 传输 ， 其 主要 功能 可 以 透 
过 类 似 镜像 备份 ， 仅 备份 新 的 数据 ， 因 此 传输 备份 速度 相当 快速 ! 


11.8 本 章 习 是 


。 Telnet 与 SSH 都 是 远程 联机 服务 器 ， 为 何 我 们 都 会 推荐 使 用 SSH 而 避免 使 用 Telnet 
呢 ? 原 因 何在 ? 因为 Telnet 除了 使 用 『 明 码 」 传送 数据 外 ， 本 身 telnet 就 是 很 容易 被 入 
侵 的 一 个 服务 器 ， 所 以 当然 也 就 比较 危险 了 。 至 于 ssh 其 实 也 不 是 很 安全 的 ! 由 台湾 计 
算 机 危机 处 理 小 组 的 文件 可 以 明显 的 发 现 openssl + openssh 也 是 常常 有 漏洞 在 发 布 ! 不 
过 ， 比 起 telnet 来 说 ， 确 实 是 稍微 安全 一 些 ! 

。 请 尝试 说 明 SSH 在 Server 与 Client 端 联 机 时 的 封包 加 密 机 制 ; 利用 key pair 来 达到 加 
密 的 机 制 : Server 提供 Public Key 给 Client 端 演算 Private key ， 以 提供 封包 传送 时 的 
加 密 、 解 密 ! 

。 请 问 SSH 的 配置 文件 是 哪 一 个 ?如 果 我 要 修改 让 root 无 法 使 用 SSH 联机 进入 我 的 SSH 
主机 ， 应 该 如 何 设 定 ? 又， 如 果 要 让 badbird 这 个 用 户 无 法 登入 SSH 主机 ， 该 如 何 设 
定 ?SSH 配置 文件 档 名 为 sshd_config ， 通 常 放置 在 /etc/ssh/sshd_config 内 ; 如 果 不 想 
让 root 登入 ， 可 以 修改 sshd_config 内 的 参数 成 为 : 『PermitRootLogin no 4 ， 并 重新 
启动 ssh 来 设 定 ! 如 果 要 让 badbird 使 用 者 无 法 登入 ， 同 样 在 sshd_config 里 面 设 定 为 : 

TDenyUsers badbirdJ」 即 可 ! 

。 在 Linux 上 ， 预 设 的 Telnet 与 SSH 服务 器 使 用 的 堆 口 (port number) 各 为 多 少 ? telnet 与 
ssh 的 堆 口 分 别 是 : 23 与 22 ! 请 参考 /etc/services 喔 | 

。 如 果 发 现 我 无 法 在 Client 端 使 用 ssh 程序 登入 我 的 Linux 主机 ， 但 是 Linux 主机 却 一 切 
正常 ， 可 能 的 原因 为 何 ? (防火 墙 、 known_hosts...) 无 法 登入 的 原因 可 能 有 很 多 ， 最 好 先 
查询 一 下 /var/log/messages 里 面 的 错误 讯息 来 判断 ， 当 然 ， 还 有 其 他 可 能 的 原因 为 : 


1. 被 防火 墙 挡住 了 ， 请 以 iptables -L -n 来 察看 ， 当 然 也 要 察看 /etc/hosts.deny ; 

2. 可 能 由 于 主机 重新 启动 过 ，public key 改变 了 ， 请 修改 你 的 ~/ssh/known_hosts 里 
面 的 主机 IP ; 

3， 可 能 由 于 /etc/ssh/sshd_config 里 面 的 设 定 问题 ， 导 致 你 这 个 使 用 者 无 法 使 用 ; 

4. 在 /etc/passwd 里 面 ， 你 的 User 不 具有 可 以 登入 的 shell ; 

5， 其 他 因素 (如 账号 密码 过 期 等 等 ) 

。 既然 ssh 是 比较 安全 的 资料 封包 传送 方式 ， 那 么 我 就 可 以 在 Internet 上 面 开 放 我 的 Linux 
主机 的 SSH 服务 了 吗 ? ! 请 说 明 你 选择 的 答案 的 原因 ! 最 好 不 要 对 Internet 开放 你 的 
SSH 服务 ， 因 为 SSH 的 加 密 函 式 库 使 用 的 是 openss1， 一 般 Linux distribution 使 用 的 
SSH 则 是 openssh ， 这 两 个 套件 事实 上 仍 有 不 少 的 漏洞 被 发 布 过 ， 因 此 ， 最 好 不 要 对 
Internet 开放 ， 毕 竟 SSH 对 于 主机 的 权限 是 很 高 的 |! 


11.9 参考 数据 与 延伸 阅读 


e。 注 1 : 与 SSH 服务 器 有 关 的 两 个 重要 官网 OpenSSH 官方 网 
站 : http://www.openssh.com/ OpenSSL 官方 网 站 : http://www.openssl.org/ 

。 注 2 :与 putty 及 pietty 有 关 的 网 站 putty 官方 网 
站 : http://www.chiark.greenend.org.uk/~sgtatham/putty/ pietty 中 文 网 
站 : http://ntu.csie.org/~piaip/pietty/ 

。 注 3 : XDMCP 维基 百科 : http://en.wikipedia.org/wiki/Xdisplay_manager(program_type) 

e。 注 4 : 教 你 怎么 设 定 gdm 的 custom.conf 
http:/www.idevelopment.info/data/Unix/Linux/LINUX_ConfiguringxDMCPRedHatLinux.s 
html http://www.yolinux.com/TUTORIALS/GDM_ XDMCP.html 

e 注 5 ; 自由 的 X server -- Xming : http://sourceforge.net/projects/xming/ 

e。 注 6 : 与 VNC 相关 的 资料 man vncserver, man Xvnc 使 用 X 的 VNC 
Module : http://phorum.study-area.org/viewtopic.php?t=25713 
http://fedoranews.org/tchung/vnc/03.shtml 

。 注 7 : 维基 百科 : http://en.wikipedia.org/wiki/Remote_Desktop_Protocol 

。 注 8 : 官网 在 http://xrdp.sourceforge.net/ 

。 注 9 : Fedora 基金 会 提供 的 Extra Packages for Enterprise Linux (EPEL) 计划 : 
http:/fedoraproject.org/wiki/EPEL 

e 注 10 : rsync 的 相关 用 法 介绍 : 酷 学 园 : 用 rsync 做 备份 : http://phorum.study- 
area.org/viewtopic.php?t=15553 ADJ 实验 室 的 rsync + 
SSH : http:/www.adj.idv.tw/server/linux_rsync.php 

。 公 钥 加 密 机 制 的 维基 百科 解释 : http://en.wikipedia.org/wiki/Public_Key_Cryptography 


2002/11/14 : 第 一 次 完成 2003/03/08 : 加 入 标 头 说 明 ， 与 修改 部 分 内 容 ， 例 如 Telnet 服务 器 
软件 的 安装 等 等 ， 以 及 SSH 的 putty 使 用 中 文 状态 ! 2003/09/09 : 将 本 文 进行 一 些 修订 ， 此 
外 ， 加 入 了 课 后 练习 ! 2005/07/02 : 将 旧 的 文章 移动 到 这 里 。 2005/07/07 : 好 不 容易 将 
VNC 还 有 XDMCP 给 他 写 了 写 一 大 家 帮 乌 可 参考 看 看 啊 ~ 2005/07/09 : 加 入 了 让 VNC 与 
tty7 同步 的 vnc.so 模块 的 说 明 2005/11/22 : 加 入 了 RSH 服务 器 的 相关 数据 ! 2006/09/18 : 
将 putty 的 介绍 转 成 pietty 的 介绍 ! 因为 pietty 更 好 用 ! 另外 也 将 rsh 重新 改写 一 下 ， 校 稿 
过 ! 2006/09/19 : 加 入 rsync 的 简易 说 明 与 操作 ! 最 文 末 的 习题 可 以 瞧 一 瞧 ! 2011/02/15 : 
将 虽 的 基于 CentOS 4.x 的 文章 移动 到 此 处 2011/02/17 : 忍痛 删除 telnet 服务 器 ， 毕 竞 幢 的 
很 少 用 了 一 包括 那个 rsh 也 不 再 介绍 ! 有 兴趣 的 请 参考 CentOS 4.x 的 昌文 章 吧 2011/02/20 : 
将 sshd 服务 器 作 个 简单 的 修改 了 ， 增 加 一 些 篇 幅 来 说 明 相 关 例 题 与 实 做 ， 尤 其 是 
~/.ssh/authorized_keys 的 权限 2011/02/23 : 修改 了 许多 Xdmcp, VNC 的 设 定 与 图 示 ， 最 重 
要 是 加 入 xrdp 的 安装 与 使 用 2011/02/24 : 加 入 Xming 透 过 X11 forward from ssh 的 方式 ! 
2011/07/25 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 2011/07/26 : 将 所 有 的 图 示 以 及 相关 的 网 


站 |P 通通 改 为 CentOS 6.x 以 及 第 三 章 谈 到 的 区 网 架构 嘿 ! 2011/11/24 : 经 由 网 友 的 回报 ， 
在 ssh 联机 方式 里 面谈 到 的 公私 钥 系 统 是 错误 的 | 经 过 查询 后 ， 已 经 将 正确 的 版 本 放 上 去 
了 1! 2011/11/24 : 由 于 是 较 大 幅度 的 改版 ， 所 以 昌 版 也 将 它 保留 下 来 ， 按 这 里 联机 。 


第 十 二 章 、 网 络 参 数控 管 者 : DHCP 服务 器 


最 近 更 新 日 期 : 2011/07/27 


想象 两 种 情况 : (1) 如 果 你 在 工作 单位 使 用 的 是 笔记 本 电脑 ， 而 且 常 常 要 带 着 你 的 笔记 本 电脑 
到 处 跑 ， 那 么 由 第 四 章 、 连 上 Internet 的 说 明 中 会 发 现 ， 哇 ! 我 的 网 络 卡 参数 要 常常 修改 
啊 1 而且， 每 到 一 个 新 的 地 方 ， 就 得 问 清楚 该 地 的 网 络 参数 才 行 | 真是 麻烦 。 (2) 你 的 公司 党 
常 有 访客 或 贵客 来 临 ， 因 为 他 们 也 带 来 笔 电 ， 所 以 也 得 常常 跑 来 找 你 问 网 络 参数 才能 设 定 他 
的 计算 机 。 哇 ! 这 两 种 情况 都 会 让 你 想 器 器 吧 ? 这 个 时 候 ， 动 态 主机 设 定 协议 (DHCP) 可 就 
大 大 的 派 上 用 场 啦 1! DHCP 这 个 服务 可 以 自动 的 分 配 IP 与 相关 的 网 络 参数 给 客户 端 ， 来 提供 
客户 端 自动 以 服务 器 提供 的 参数 来 设 定 他 们 的 网 络 。 如 此 一 来 ， 使 用 者 只 要 将 自己 的 笔 电 设 
定好 经 由 DHCP 协议 来 取得 网 络 参 数 后 ， 一 插 上 网 络 线 ， 呵 呵 ! 马上 就 可 以 享受 Internet 的 
服务 啦 ! 很 方便 吧 ! 所 以 得 来 瞧 一 瞧 这 个 好 用 的 协定 喔 ! 


e。 12.1 DHCP 运作 的 原理 
o 12.1.1 DHCP 服务 器 的 用 途 
o 12.1.2 DHCP 协议 的 运作 方式 : IP 参数 , 租约 期 限 , 多 部 DHCP 服务 器 
o 12.1.3 和 何 时 需要 架设 DHCP 服务 器 
e。 12.2 DHCP 服务 器 端的 设 定 
o 12.2.1 所 需 软 件 与 档案 结构 
o 12.2.2 主要 配置 文件 /etc/dhcp/dhcpd.conf 的 语法 
o 12.2.3 一 个 局 域 网 络 的 DHCP 服务 器 设 定案 例 
o 12.2.4 DHCP 服务 器 的 启动 与 观察 
o 12.2.5 内 部 主机 的 |P 对 应 
e。 12.3 DHCP 客户 端的 设 定 
o 12.3.1 客户 端 是 Linux 
o 12.3.2 客户 端 是 Windows 
。 12.4 DHCP 服务 器 端 进 阶 观 察 与 使 用 
o 12.4.1 检查 租约 档案 
o 12.4.2 让 大 量 PC 都 具有 固定 IP 的 脚本 
o 12.4.3 使 用 ether-wake 实行 远程 自动 开机 (remote boot) 
o 12.4.4 DHCP 与 DNS 的 关系 
e 12.5 重点 回顾 
e 12.6 本 章 习 题 
e 12.7 参考 数据 与 延伸 阅读 
e 12.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=117845 


12.1 DHCP 运作 的 原理 


在 正式 的 进入 DHCP (Dynamic Host Configuration Protocol) 服务 器 设 定之 前 ， 我 们 先 来 认识 
一 下 DHCP 这 个 协议 吧 ! 还 有 ， 需 要 了 解 的 是 ， 我 们 是 否 『 一 定 」 得 设 定 DHCP 这 个 服务 器 
呢 ? 这 里 都 需要 厘清 一 下 概念 喔 ! 


12.1.1 DHCP 服务 器 的 用 途 


在 开始 DHCP 的 说 明之 前 ， 我 们 先 来 复习 一 下 之 前 在 第 二 章 网 络 基 础 里 面 提 到 的 几 个 网 络 参 
数 吧 | 要 设 定好 一 个 网 络 的 环境 ， 使 计算 机 可 以 顺利 的 连 上 Internet ， 那 么 你 的 计算 机 里 面 
一 定 要 有 底下 几 个 网 络 的 参数 才 行 ， 分 别 是 : 


。 |P, netmask, network, broadcast, gateway, DNS IP 


其 中 ， 那 个 IP, netmask, network, broadcast 与 gateway 都 可 以 在 /etc/sysconfig/network- 
scripts/ifcfg-eth[0-n] 这 档案 里 面 设 定 ，DNS 服务 器 的 地 址 则 是 在 /etc/resolv.conf 里 头 设 定 。 
只 要 这 几 个 项 目 设 定 正确 ,那么 计算 机 应 该 就 没 问题 的 可 以 上 网 了 1 所 以 说 ， 你 家 里 面 的 3， 
4 部 计算 机 ， 你 都 可 以 手动 的 来 设 定好 你 所 需要 的 网 络 参数 ， 然 后 利用 NAT 服务 器 的 功能 ， 
就 可 以 大 摇 大 摆 的 连 上 Internet 了 |! 申 是 不 错 ^^， 不 是 吗 ? 


好 了 ， 现 在 让 我 们 换 一 个 大 一 些 些 的 场景 吧 ! 假设 你 是 学 校 宿舍 的 网 络 管理 员 ， 所 管理 的 学 
生计 和 工 机 大 概 有 100 部 好 了 ， 那 么 你 怎么 设 定好 这 100 部 的 计算 机 呢 ? 


1， 直接 每 一 部 计算 机 都 让 你 登门 拜访 手动 的 去 设 定好 ? 
2， 将 所 有 的 学 生 都 集合 起 来 ， 然 后 精神 训话 ..... 喔 不 ! 是 直接 教导 一 下 怎么 设 定 ? 还 是 
3. 藉 由 一 部 主机 来 自动 的 分 配 所 有 的 网 络 参数 给 宿舍 内 的 任何 一 部 计算 机 ? 


这 三 种 解决 方案 所 需要 的 时 间 都 不 相同 ， 如 果 你 选择 的 是 (1)， 那 么 鸟 哥 个 人 认为 ， 你 不 是 工 
作 狂 就 是 疯 丰 了 ， 因 为 所 要 花费 的 时 间 与 你 所 得 的 薪水 与 付出 的 心力 是 完全 不 成 比例 的 。 如 
果 选 择 是 (2)， 那 么 很 可 能 你 会 被 挂 上 独裁 者 、 没 良心 的 管理 员 的 称号 ! 如 果 是 选择 (3) 呢 ? 藉 
喜 你 |! 这 个 方案 的 管理 时 间 花 费 最 短 ， 也 是 最 不 麻烦 的 作法 啦 ! 


呵呵 ! 知道 鸟 哥 要 说 些 什么 了 吗 ? 是 的 ! 这 个 DHCP (Dynamic Host Configuration Protocol) 
服务 器 最 主要 的 工作 ， 就 是 在 进行 上 面 的 第 三 个 方案 ， 也 就 是 自动 的 将 网 络 参数 正确 的 分 配 
给 网 域 中 的 每 部 计算 机 ， 让 客户 端的 计算 机 可 以 在 开机 的 时 候 就 立即 自动 的 设 定 好 网 络 的 参 
数值 ， 这 些 参数 值 可 以 包括 了 IP、netmask、network、gateway 与 DNS 的 地 址 等 等 。 如 此 
一 来 ， 身 为 管理 员 的 你 ， 只 要 注意 到 这 一 部 提供 网 络 参 数 的 主机 有 没有 挂 掉 就 好 了 ， 其 他 同 
学 们 的 个 人 计算 机 ， 哈 ! 你 想 都 不 必 想 要 怎么 去 帮忙 ! 因为 DHCP 主机 已 经 完全 都 帮 你 搞定 
啦 ! ^ 人 ^! 阿 ! 当 管理 员 最 大 的 幸福 就 是 可 以 喝 喝 茶 、 聊 聊天 就 能 控 管 好 一 切 的 网 络 问题 

呢 | 


12.1.2 DHCP 协议 的 运作 方式 


你 必需 要 知道 的 是 ，DHCP 通常 是 用 于 局 域 网 络 内 的 一 个 通讯 协议 ， 他 主要 藉 由 客户 端 传送 
广播 封包 给 整个 物理 网 段 内 的 所 有 主机 ， 若 局 域 网 络 内 有 DHCP 服务 器 时 ， 才 会 响应 客户 端 
的 IP 参数 要 求 。 所 以 嚼 ，DHCP 服务 器 与 客户 端 是 应 该 要 在 同一 个 物理 网 段 内 的 。 至 于 整个 
DHCP 封包 在 服务 器 与 客户 端的 来 来 回回 情况 有 点 像 底下 这 样 : ( 注 1) 


客户 端 服务 器 端 
Port 68 Port 67 
搜索 DHCP 服务 器 
broadcast 
DHCP 欧 数 提供 
unicast 
DHCP 参数 选择 
broadcast 
DHCP 服务 确认 
unicast 


时 间 ”图 12.1-1、 
户 端 取得 IP 参数 的 程序 可 以 简化 如 下 : 


1. 客户 端 : 利用 广播 封包 发 送 搜索 DHCP 服务 器 的 封包 : 


户 由 
包 给 所 有 物理 网 段 内 的 计算 机 。 此 封包 的 目标 IP 会 是 255.255.255.255， 所 以 一 般 主机 
接收 到 这 个 封包 后 会 直接 予以 丢弃 ， 但 若 局 域 网 络 内 有 DHCP 服务 器 时 ， 则 会 开始 进行 


2. 服务 器 端 : 提供 客户 端 网 络 相关 的 租约 以 供 选择 : 


DHCP 服务 器 在 接收 到 这 个 客户 端的 要 求 后 ， 会 针对 这 个 客户 端的 硬件 地 址 (MAC) 与 本 
身 的 设 定数 据 来 进行 下 列 工 作 : 


o 到 服务 器 的 登录 文件 中 寻找 该 用 户 之 前 是 否 曾 经 用 过 某 个 IP ， 若 有 且 该 IP 目前 无 
人 使 用 ， 则 提供 此 |P 给 客户 端 ; 

o 若 配 置 文件 针对 该 MAC 提供 额外 的 固定 IP (static IP) 时 ， 则 提供 该 固定 IP 给 客户 

o 若 不 符合 上 述 两 个 条 件 ， 则 随机 取 用 目前 没有 被 使 用 的 |P 参数 给 客户 端 ， 并 记录 下 
来 。 总之， 服务 器 端 会 针对 客户 端的 要 求 提 供 一 组 网 络 参数 租约 给 客户 端 选择 ， 由 
于 此 时 客户 端 尚未 有 IP ， 因 此 服务 器 端 响应 的 封包 信息 中 ， 主 要 是 针对 客户 端的 
MAC 来 给 予 回应 。 此 时 服务 器 端 会 保留 这 个 租约 然后 开始 等 待 客户 端的 回应 。 

3， 容 户 端 : 决定 选择 的 DHCP 服务 器 提供 的 网 络 参数 租约 并 回报 服务 器 : 


由 于 局 域 网 络 内 可 能 并 非 仅 有 一 部 DHCP 服务 器 ， 但 客户 端 仅 能 接受 一 组 网 络 参数 的 租 
约 。 因 此 客户 端 必 需要 选择 是 否 要 认可 该 服务 器 提供 的 相关 网 络 参数 的 租约 。 当 决定 好 
使 用 此 服务 器 的 网 络 参数 租约 后 ， 客 户 端 便 开始 使 用 这 组 网 络 参数 来 设 定 自己 的 网 络 环 
境 。 此 外 ， 客 户 端 也 会 发 送 一 个 广播 封包 给 所 有 物理 网 段 内 的 主机 ， 告 知已 经 接受 该 服 
务 器 的 租约 。 此 时 若 有 第 二 台 以 上 的 DHCP 服务 器 ， 则 这 些 没 有 被 接受 的 服务 器 会 收回 
该 IP 租约 。 至 于 被 接受 的 DHCP 服务 器 会 继续 进行 底下 的 动作 。 


4. 服务 器 端 : 记录 该 次 租约 行为 并 回报 客户 端 已 确认 的 响应 封包 信息 : 


当 服务 器 端 收 到 客户 端的 确认 选择 后 ， 服 务 器 会 回 传 确 认 的 响应 封包 ， 并 且 告 知客 户 端 
这 个 网 络 参数 租约 的 期 限 ， 并 且 开 始 租 约 计 时 喔 ! 那么 该 次 租约 何 时 会 到 期 而 被 解约 ( 扶 
可 怕 的 字眼 ) ? 你 可 以 这 样 想 : 


o 客户 端 脱 机 : 不 论 是 关闭 网 络 接口 (ifdown)、 重 新 启动 (reboot)、 关 机 (Shutdown) 
等 行为 ， 左 算是 脱 机 状态 ， 这 个 时 候 Server 端 就 会 将 该 IP 回收 ， 并 放 到 Server 自 
己 的 备用 区 中 ， 等 待 未 来 的 使 用 ; 


o 客户 端 租约 到 期 : 前 面 提 到 DHCP server 端 发 放 的 |P 有 使 用 的 期 限 ， 客 户 端 使 用 这 
个 IP 到 达 期 限 规定 的 时 间 ， 而 且 没 有 重新 提出 DHCP 的 申请 时 ， 就 需要 将 IP 缴 回 
去 ! 这 个 时 候 就 会 造成 断 线 。 但 用 户 也 可 以 再 向 DHCP 服务 器 要 求 再 次 分 配 IP 史 。 


以 上 就 是 DHCP 这 个 协议 在 Server 端 与 Client 端的 运作 状态 ， 由 上 面 这 个 运作 状态 来 看 ， 
我 们 可 以 晓得 ， 只 要 Server 端 设 定 没 有 问题 ， 加 上 Server 与 Client 在 硬件 联机 上 面 确 定 是 
OK 的 ， 那 么 Client 就 可 以 直接 藉 由 Server 来 取得 上 网 的 网 络 参数 ， 当 然 啦 ， 只 要 我 们 这 些 
管理 员 能 够 好 好 的 、 正 确 的 管理 好 我 们 的 DHCP 服务 器 ， 嘿 嘿 上 那么 上 网 的 设 定 自然 就 变 成 
一 件 很 简单 的 事情 啦 ! 不 过 ， 关 于 上 述 的 流程 还 是 有 一 些 需要 额外 说 明 的 啦 : 


。 DHCP 服务 器 给 予 客户 端的 IP 参数 为 国定 或 动态 : 


在 上 面 的 步骤 里 面 ， 注意 到 第 二 步骤 了 吗 ? 就 是 服务 器 会 去 比较 客户 端的 MAC 硬件 地 址 ， 并 
判断 该 MAC 是 否 需 要 给 予 一 个 国定 的 IP 呢 ! 所 以 啦 ， 我 们 可 以 设 定 DHCP 服务 器 给 予 客户 
端的 |P 参数 主要 有 两 种 : 


。 固定 (Static) IP : 


只 要 那个 客户 端 计算 机 的 网 络 卡 不 换 掉 ， 那 么 MAC 肯定 就 不 会 改变 ， 由 于 DHCP 可 以 
根据 MAC 来 给 予 固定 的 IP 参数 租约 ， 所 以 该 计算 机 每 次 都 能 以 一 个 国定 的 IP 连 上 
Internet ! 呵呵 ! 这 种 情况 比较 适合 当 这 部 客户 端 计 算 机 需要 用 来 做 为 提供 区 域内 的 一 
些 网 络 服务 的 主机 之 用 (所 以 IP 要 固定 )。 那 么 如 何在 Linux 上 面 知 道 网 络 卡 的 MAC 
呢 ? 很 简单 啦 | 有 很 多 的 方式 ， 最 简单 的 方式 就 是 使 用 ifconfig 及 arp 来 进行 : 


# 1\， 观 察 自己 的 MAC 可 用 ifconfig : 

[root@www ~]# ifconfig &#124; grep HW 

etho Link encap:Ethernet Hwaddr 08:00:27:71:85:BD 

eth1 Link encap:Ethernet  Hwaddr 08:00:27:2A:30:14 

# 因为 鸟 哥 有 两 张 网 卡 ， 所 以 有 两 个 硬件 地 址 嘱 ! 

# 2\， 观 察 别人 的 MAC 可 用 ping 配合 arp 

[root@www ~]# ping -c 3 192.168.1.254 

[root@www ~]# arp -n 

Address Hwtype Hwaddress Flags Mask Iface 
192.168.1.254 ether 00:0c:6e:85:d5:69 C etho 


。 动态 (dynamic) IP : 


Client 端 每 次 连 上 DHCP 服务 器 所 取得 的 IP 都 不 是 固定 的 ! 都 直接 经 由 DHCP 所 随机 
由 尚未 被 使 用 的 |P 中 提供 ! 


除非 你 的 局 域 网 络 内 的 计算 机 有 可 能 用 来 做 为 主机 之 用 ， 所 以 必需 要 设 定 成 为 国定 IP ， 和 否则 
使 用 动态 IP 的 设 定 比较 简单 ， 而 且 使 用 上 面具 有 较 佳 的 弹性 。 怎 么 说 呢 ? 假如 你 是 一 个 ISP 
好 了 ， 而 你 只 申请 到 150 个 IP 来 做 为 你 的 客户 联机 之 用 。 那 么 你 是 否 监 的 只 能 邀集 到 150 的 
使 用 者 ?呵呵 ! 当然 不 嘿 ! 我 可 以 邀集 200 个 使 用 者 以 上 呢 ! 


为 什么 ? 这样 想 好 了 ， 我 今天 开 了 一 家 餐馆， 里 面 只 有 20 个 座位 ， 那 么 是 否 我 一 餐 只 能 卖 给 
20 个 人 呢 ? 当然 不 是 啦 ! 因为 客人 是 人 来 人 往 的 ， 有 人 先 吃 有 人 后 吃 ， 所 以 同样 是 20 个 座 
位 ， 但 是 可 以 有 40 个 人 来 吃 我 的 简 餐 ， 因 为 来 的 时 间 不 一 样 六 1! 了解 了 吗 ?呵呵 ! 对 啦 1 你 
这 个 |ISP 虽然 只 有 150 个 IP 可 以 发 放 ， 但 是 因为 你 的 使 用 者 并 非 24 小 时 都 挂 在 在 线 的 ， 所 
以 你 可 以 将 这 150 个 IP 做 良好 的 分 配 ， 让 200 个 人 来 『 轮 流 使 用 1 这 150 个 IP 哩 1! 


Tips: 其 实 IP 只 有 Public IP 与 Private IP 两 种 ， 中 文 翻译 成 『 公 共 IPJ 与 『 私 有 1IPJ 这 两 
个 ， 至 于 其 他 所 谓 的 『 静 态 IP4 、 了 实体 IPJ 、 了 虚拟 IPJI 、『 浮 动 式 IPJ 等 等 ， 都 是 藉 
由 一 些 IP 取得 的 方式 来 分 类 的 ， 关 于 IP 的 种 类 我 们 在 网 络 基础 中 谈 过 了 ， 记 得 再 好 好 的 厘 
清 一 下 观念 喔 ! 


事实 上 现在 主流 的 ADSL 宽带 拨 接 上 网 也 有 使 用 到 『 静 态 IP J 与 『 固 定 IP J 之 类 的 概念 
喔 ! 举例 来 说 好 了 ，hinet/seed net 等 主要 ISP 都 有 提供 所 谓 的 : 『 一 个 固定 IP 搭配 7~8 个 
浮动 IP 」 的 ADSL 拨 接 功能 ， 也 就 是 说 同样 透 过 一 条 电话 线 拨 接 到 |SP ， 但 是 其 中 一 个 拨 接 
是 可 以 取得 固定 的 上 PP 呢 1 而 其 他 的 则 是 非 国定 的 IP ，DHCP 的 static/dynamic 跟 这 个 玩意 
儿 有 点 类 似 啦 |! A ^ 


。 关于 租约 所 造成 的 问题 与 租约 期 限 : 


怪 了 ! 如 果 我 们 观察 上 面 DHCP 运作 模式 的 第 四 个 步骤 ， 你 会 发 现 最 后 DHCP 服务 器 还 会 给 
了 予 一 个 租约 期 限 ! 干 嘛 还 要 这 样 的 一 个 期 限 呢 ? 其 实 设 定期 限 还 是 有 个 优点 啦 ! 最 大 的 优点 
就 是 可 以 避免 IP 被 某 些 使 用 者 一 直 占 用 着 ， 但 该 使 用 者 却 是 ldle (发 采 ) 的 状态 ! 


举 个 例子 来 说 ， 我 们 刚刚 不 是 说 到 ， 我 有 150 个 IP ， 但 是 偏偏 我 有 200 个 用 户 吗 ?我 们 以 
2010 年 的 世界 杯 足 球赛 来 说 明 好 了 。 假 设 每 个 使 用 者 都 急 着 上 网 知道 世 足 赛 的 消息 ， 那 么 某 
些 热门 对 战 时 段 网 络 将 可 能 达到 使 用 尖峰 |! 也 就 是 说 ， 这 200 个 人 同时 要 来 使 用 这 150 个 IP 
， 有 可 能 吗 ? 当然 不 可 能 ! 肯定 会 有 50 个 人 无 法 联机 ， 因 为 『 很 抱 菊 ! 目前 系统 正在 忙 线 
中 ， 请 你 稍 后 再 拨 1 4 


那 怎么 办 ? 这 个 时 候 租约 到 期 的 方式 就 很 有 用 处 啦 ! 那 几 个 已 经 联机 进来 很 久 的 人 ， 就 会 因 
为 租约 到 期 而 被 迫 脱 机 ， 这 个 时 候 该 |P 就 会 被 释放 出 来 ， 哈 哈 ! 大 家 赶快 抢 呀 ! 先 抢 到 先 赢 
吕 1 所 以 ， 那 50 个 人 (包括 被 迫 脱 机 的 那个 朋友 ) 只 好 继续 的 、 努 力 的 、 加 油 的 来 进行 
DHCP 的 要 求 史 ! 人 


虽然 说 是 优点 ， 但 是 其 实 如 果 站 在 使 用 者 的 角度 来 看 ， 还 是 可 能 会 造成 公愤 的 |! 和 赁 什么 大 家 
一 起 交 钱 ， 我 先 联机 进来 就 需要 先 被 踢 出 去 ?一 呵呵 | 所 以 哩 ， 如 果 要 当 ISP， 还 是 得 要 先 
规划 好 服务 的 方针 才 行 哆 ! 这 样 你 可 以 了 解 租约 到 期 的 行为 了 吗 ? 1 ^^ 


既然 有 租约 时 间 ， 那 么 是 否 代表 我 用 DHCP 取得 的 IP 就 得 要 『 手 动 」 的 在 茶 个 时 间 点 去 重新 
取得 新 的 IP 呢 ? 不 需要 的 啦 ! 因为 目前 的 DHCP 客户 端 程序 大 多 会 主动 的 依据 租约 时 间 去 重 
新 申请 IP (renew) 的 ! 也 就 是 说 在 租约 到 期 前 你 的 DHCP 客户 端 程序 就 已 经 又 重新 申请 更 新 
租约 时 间 了 。 所 以 除非 DHCP 主机 挂 点 ， 和 否则 你 所 取得 的 IP 应 该 是 可 以 一 直 使 用 下 去 的 ! 


Tips: 一 般 来 说 ， 假 设 租约 期 限 是 小时， 那么 客户 端 在 0.5T 会 主动 向 DHCP 服务 器 发 出 重 
新 要 求 网 络 参数 的 封包 。 如 果 这 次 封包 要 求 没有 成 功 ， 那么 在 0.875T 后 还 会 再 次 的 发 送 封包 
一 次 。 正 因 如 此 ， 所 以 <u> 服 务 器 端 会 启动 port 67 监听 用 户 要 求 ， 而 用 户 会 启动 port 68 主 
动向 服务 器 要 求 </u> 哩 ! 鸟 哥 觉得 这 是 很 特殊 的 一 件 事 呢 ! 


。 多 部 DHCP 服务 器 在 同一 物理 网 段 的 情况 


或 许 你 曾经 发 现 过 一 件 事情 ， 那 就 是 当 我 的 网 域 里 面 有 两 部 以 上 的 DHCP 服务 器 时 ， 到 底 哪 
一 部 服务 器 会 提供 我 的 这 部 客户 端 计算 机 所 发 出 的 DHCP 要 求 ? 呵呵! 很 抱歉 ， 俺 也 不 晓 
得 ! 因为 在 网 络 上 面 ， 很 多 时 候 都 是 『 先 抢先 赢 」4 的 ，DHCP 的 回应 也 是 如 此 |! 当 Server1 
先 响应 时 ， 你 使 用 的 就 是 Server1 所 提供 的 网 络 参 数 内 容 ， 如 果 是 Server2 先 响应 ， 你 就 是 
使 用 Server2 的 参数 来 设 定 你 的 客户 端 PC ! 不 过 ， 前 提 之 下 当然 是 这 些 计算 机 的 『 物 理 联 
机 J 都 是 在 一 起 的 啊 ! 


因为 这 个 特色 的 关系 ， 所 以 当 你 在 练习 DHCP 服务 器 的 设 定之 前 ， 不 要 在 已 经 正常 运作 的 区 
网 下 测试 ， 否 则 会 很 惨 。 举 个 鸟 哥 的 例子 来 说 好 了 ， 某 一 次 其 他 系 的 研究 生 在 测试 网 络 安 全 
时 ， 在 原 有 的 区 网 上 面 放 了 一 部 IP 分 享 器 ， 结 果 你 猜 怎么 着 ?了 整 标 大 楼 的 网 络 都 不 通 了 ! 因 
为 那 时 整 栋 大 楼 的 网 络 是 串 接 在 一 起 的 ， 而 我 们 学 校 是 使 用 DHCP 让 客户 端 上 网 。 由 于 IP 
分 享 器 的 设 定 并 不 能 连 上 Internet ， 哇 ! 大 家 都 无 法 上 网 了 啦 ! 那 你 晓得 了 吗 ? 不 要 随便 测 
试 啦 这 个 DHCP 服务 器 ! 


12.1.3 何 时 需要 架设 DHCP 服务 器 


既然 DHCP 的 好 处 是 『 免 客户 端 设 定 」， 而 且 对 于 行动 装置 的 上 网 方面 非常 的 方便 ! 那么 是 
否 代表 你 就 得 要 架设 一 部 DHCP 呢 ? 那 可 不 一 定 ! 接 下 来 要 告知 大 家 的 是 几 个 概念 性 的 问 
题 ， 你 倒 不 一 定 『 必 需 」 遵守 底下 的 一 些 概念 呢 |! 反正 ， 自 己 的 网 域 自己 『 严 」 就 好 啦 | 


。 使 用 DHCP 的 几 个 时 机 
在 某 些 情况 之 下 ， 倒 是 强烈 的 建议 架设 DHCP 主机 的 ! 什么 情况 呢 ? 例 如 : 


e 具有 相当 多 行动 装置 的 场合 : 例如 你 的 公司 内 部 很 多 笔记 本 电脑 使 用 的 场合 ! 因为 这 种 
笔 电 本 身 就 是 移动 性 的 装置 ， 如 果 每 到 一 个 地 方 都 要 去 问 人 家 『 喂 ! 你 这 边 的 网 络 参 数 
是 什么 ?4 还 得 要 担心 是 否 会 跟 人 家 的 IP 相 冲 突 等 等 的 问题 ! 这 个 时 候 ，DHCP 可 就 是 
你 的 救星 史 ! 


。 区 域内 计算 机 数量 相当 的 多 时 : 另外 一 个 情况 就 是 你 所 负责 的 网 域内 计算 机 数量 相当 庞 
大 时 ， 大 到 你 没有 办 法 一 个 一 个 的 进行 说 明 来 设 定 他 们 自己 的 网 络 参数 ， 这 个 时 候 为 了 
省 麻烦 ， 还 是 架设 DHCP 来 的 方便 呐 ! 况且， 维护 一 部 你 熟悉 的 DHCP 主机， 要 比 造访 
几 十 个 不 懂 计 算 机 的 人 要 简单 的 多 哩 1^ 人 人 


。 不 建议 使 用 DHCP 主机 的 时 机 


虽然 DHCP 有 很 多 好 处 ， 但 是 你 有 没有 发 现 一 个 步骤 怪 怪 的 呀 ! 回头 看 一 下 那个 步骤 一 ， 客 
户 端 在 开机 的 时 候 会 主动 的 发 送 讯息 给 网 域 上 的 所 有 机 器 ， 这 个 时 候 ， 如 果 网 域 上 就 是 没有 
DHCP 主机 呢 ? 很 抱 菊 ， 那 么 你 的 这 部 客户 端 计 算 机 ，『 仍 然 会 持续 的 发 送 讯 息 1J 申 正 的 
时 间 与 次 数 不 晓得 会 有 多 久 ， 不 过 ， 肯 定 会 超过 30 秒 以 上 ， 甚至 可 以 达到 一 分 钟 以 上 ! 

哇 1 那么 这 段 时 间 你 能 干 嘛 ?呵呵 上 除了 等 、 还 是 等 | 所 以 嘿 ， 如 果 计 算 机 数 不 多 ， 还 是 使 
用 手动 的 方式 来 设 定 一 下 就 好 了 ! 方便 嘛 ! 


。 在 你 网 域内 的 计算 机 ， 有 很 多 机 器 其 实 是 做 为 主机 的 用 途 ， 很 少 用 户 需 求 ， 那 么 似乎 就 
没有 必要 架设 DHCP ; 

。 更 极端 的 情况 是 ， 像 一 般 家 里 ， 只 有 3 ~ 4 部 计算 机 ， 这 个 时 候 ， 架 设 DHCP 只 能 拿 来 
练 练功 力 ， 事 实 上 ， 并 没有 多 大 的 效益 ; 

。 当 你 管理 的 网 域 当 中 ， 大 多 网 络 卡 都 属于 老 旧 的 型 号 ， 并 不 支持 DHCP 的 协议 时 ; 

。 很 多 用 户 的 信息 知识 都 很 高 ， 那 么 也 没有 需要 架设 DHCP 啦 。 


如 前 所 述 ， 上 面 的 都 是 概念 性 的 说 法 ， 事 实 上 ， 一 件 事 情 的 解决 之 道 是 有 很 多 的 方案 的 ， 没 
有 所 谓 的 『 完 全 正确 」 的 方案 ， 只 有 【相对 可 行 、 并 且 符 合 经 济 效益 与 功能 」 的 方案 ! 所 以 
史 ， 架 设 任何 网 站 之 前 ， 请 先 多 评估 评估 呐 ! 


12.2 DHCP 服务 器 端的 设 定 


事实 上 ， 目 前 市 面 上 的 IP 分享 器 已 经 便宜 到 爆 了 | 而 IP 分 享 器 本 身 就 含有 DHCP 的 功能 。 
所 以 如 果 你 只 是 想 要 单纯 的 使 用 DHCP 在 你 的 局 域 网 络 当 中 而 已 ， 那 么 建议 你 直接 购买 一 部 
IP 分 享 器 来 使 用 即 可 ， 因 为 至 少 它 很 省 电 。 如 果 你 还 有 其 他 考虑 的 话 ， 才 来 架设 DHCP 吧 ! 
底下 我 们 以 一 个 简单 的 范例 来 架设 DHCP 先 。 


12.2.1 所 需 软 件 与 档案 结构 


DHCP 的 软件 需求 很 简单 ， 就 是 只 要 服务 器 端 软 件 即 可 ， 存 CentOS 6.x 上 面 ， 这 个 软件 的 名 
称 就 是 dhcp 哩 ! 如 果 是 默认 安装 ， 那 么 这 个 软件 是 不 会 安装 的 ， 请 自行 使 用 yum 去 装 好 这 
个 软件 吧 ! 安装 完毕 之 后 ， 你 可 以 使 用 『 rpm -ql dhcp J 来 看 看 这 个 软件 提供 了 哪些 档案 ， 
基本 上 ， 比 较 重 要 的 档案 数据 如 下 : 


。 /etc/dhcp/dhcpd.conf 这 个 就 是 dhcp 服务 器 的 主要 配置 文件 咯 ! 在 某 些 Linux 版 本 上 头 
这 个 档案 可 能 不 存在 ， 所 以 如 果 你 确定 有 安装 dhcp 软件 却 找 不 到 这 个 档案 时 ， 请 手动 自 


Tips: 其 实 dhcp 软件 在 释 出 的 时 候 都 会 附 上 一 个 范例 档案 ， 你 可 以 使 用 『 rpm -ql dhcp 
」 来 查询 到 dhcpd.conf.sample 这 个 范例 档案 ， 然 后 将 该 档案 复制 成 为 
/etc/dhcp/dhcpd.conf 后 ， 再 手动 去 修改 即 可 ， 这 样 设 定 比 较 容 易 啦 ! 


。 /usr/sbin/dhcpd 启动 整个 dhcp daemon 的 执行 档 啊 ! 其 实 最 详细 的 执行 方式 应 该 要 使 用 
『 man dhcpd J」 来 查阅 一 番 的 呢 1^ 人 人 ^ 


。 /var/lib/dhcp/dhcpd.leases 这 档案 鼎 有 趣 的 |! 我 们 前 面 原理 部 分 不 是 有 提 到 『 租 约 」 吗 ? 
DHCP 服务 器 端 与 客户 端 租约 建立 的 启 始 与 到 期 日 就 是 记录 在 这 个 档案 当中 的 咯 ! 


就 跟 你 说 很 简单 吧 ! 整个 软件 数据 也 不 过 才 如 此 而 已 呢 ! 


12.2.2 主要 配置 文件 /etc/dhcp/dhcpd.conf 的 语法 


在 CentOS 5.x 以 前 ， 这 个 档案 都 被 放置 到 /etc/dhcpd.conf 的 ， 新 版 的 才 放 置 于 此 处 。 其 实 
DHCP 的 设 定 很 简单 啊 ， 只 要 将 dhcpd.conf 设 定好 就 可 以 启动 了 。 不 过 编辑 这 个 档案 时 你 必 
须要 留意 底下 的 规范 : 


『#J 为 批注 符号 ; 

除了 右 括号 ")" 后 面 之 外 ， 其 他 的 每 一 行 设 定 最 后 都 要 以 『 ; 」 做 为 结尾 | 重要 | 

设 定 项 目 语法 主要 为 : 『 < 参数 代号 > < 设 定 内 容 > 」， 例 如 : default-lease-time 
259200; 

某 些 设 定 项 目 必 须 以 option 来 设 定 ， 基 本 方式 为 『 option < 参数 代码 > < 设 定 内 容 > 」 例 
如 : option domain-name "your.domain.name"; 


基本 上 ， 我 们 刚刚 前 面 提 过 说 ，DHCP 的 IP 分 配 可 分 为 给 予 动态 IP 与 固定 IP ， 其 中 又 需要 
了 解 的 是 ， 如 果 需 要 设 定 国定 IP 的 话 ， 那 么 就 必须 要 知道 要 设 定 成 国定 |P 的 那 部 计算 机 的 
硬件 地 址 (MAC) 才 行 ， 请 使 用 arp 或 ifconfig 来 查 知 你 的 接口 的 MAC 吧 ! 好 了 ， 那 么 需要 设 
定 的 项 目 有 哪些 呢 ? 其 实 dhcpd.conf 里 头 的 设 定 主要 分 为 两 大 项 目 ， 一 个 是 服务 器 运作 的 整 
体 设 定 (Global) 一 个 是 IP 设 定 模式 (动态 或 固定 )， 每 个 项 目的 设 定 值 大 概 有 底下 这 几 项 : 


整体 设 定 (Global) 


假设 你 的 dhcpd 只 管理 一 个 区 段 的 区 网 ， 那 么 除了 IP 之 外 的 许多 网 络 参 数 就 可 以 放 在 整体 设 
定 的 区 域 中 ， 这 包括 有 租约 期 限 、DNS 主机 的 IP 地 址 、 路 由 器 的 IP 地 址 还 有 动态 DNS 
(DDNS) 更 新 的 类 型 等 等 。 当 固定 IP 及 动态 IP 内 没有 规范 到 某 些 设 定时 ， 则 以 整体 设 定 值 为 


准 。 


这 些 参数 的 设 定名 称 为 : 


default-lease-time 时 间 : 用 户 的 计算 机 也 能 够 要 求 一 段 特 定 长 度 的 租约 时 间 ， 但 若 使 用 
者 没有 特别 要 求 租约 时 间 的 话 ， 那 么 就 以 此 为 预 设 的 租约 时 间 。 后 面 的 时 间 参 数 默认 单 
位 为 秒 ; 


max-lease-time 时 间 : 与 上 面 的 预 设 租约 时 间 类 似 ， 不 过 ， 这 个 设 定 值 是 在 规范 使 用 者 
所 能 要 求 的 最 大 租约 时 间 。 也 就 是 说 ， 使 用 者 要 求 的 租约 时 间 若 超过 此 设 定 值 ， 则 以 此 
值 为 准 ; 


option domain-name "领域 名 " : 如 果 你 在 /etc/resolv.conf 里 面 设 定 了 一 个 『 search 
google.com 4 的话， 这 表示 当 你 要 搜寻 主机 名 时 ，DNS 系统 会 主动 帮 你 加 上 这 个 领域 
名 的 意思 。 


option domain-name-servers IP1, IP2 : 这 个 设 定 参数 可 以 修改 客户 端的 /etc/resolv.conf 
档案 ! 就 是 nameserver 后 面 接 的 那个 DNS IP 嚼 ! 特别 注意 设 定 参 数 最 末尾 为 
『servers4J (有 s 喔 ) ; 


ddns-update-style 类 型 : 因为 DHCP 客户 端 所 取得 的 IP 通常 是 一 直 变 动 的 ， 所 以 某 部 
主机 的 主机 名 与 IP 的 对 应 就 很 难处 理 。 此 时 DHCP 可 以 透 过 ddns (请 参考 第 十 章 与 第 十 
九 章 DNS 的 说 明 ) 来 更 新 主机 名 与 IP 的 对 应 。 不 过 我 们 这 里 不 谈 这 么 复杂 的 东西 ， 所 以 
你 可 以 将 他 设 定 为 none 喔 。 


。 ignore 0 . 人 设 定 值 较 相 关 ， 客 户 端 可 以 透 过 dhcpd 服务 器 来 更 新 
DNS 相关 的 信息 。 这 里 我 们 也 先 不 谈 这 个 ， 因 此 就 将 它 设 定 为 ignore (忽略 ) 
了 。 


。 option routers 路 由 器 的 地 址 : 设 定 路 由 器 的 IP 所 在 ， 记 得 那个 『 routers 」 要 加 s 才 
对 1 
。 |P 设 定 模式 (动态 或 国定 ) 


由 于 dhcpd 主要 是 针对 局 域 网 络 来 给 予 IP 参数 的 ， 因 此 在 设 定 IP 之 前 ， 我 们 得 要 指定 一 个 
区 网 才 行 。 指 定 区 网 的 方式 使 用 如 下 的 参数 : 


subnet NETWORK_IP netmask NETMASK_IP{.… } 


我 们 知道 区 网 要 给 予 network / netmask IP 这 两 个 参数 才 行 ， 例 如 之 前 谈 过 的 : 

192.168.100.0 / 255.255.255.0 这 样 的 设 定 值 。 上 头 设 定 值 当 中 ，subnet 与 netmask 是 关 
键 词 ， 而 大 写 部 分 就 直上 你 的 区 网 参数 嗓 。 那 在 括号 内 还 有 什么 参数 需要 设 定 的 ? 那 就 是 到 
底 IP 是 固定 的 还 是 动态 的 设 定 啊 : 


。 range IP11P2 : 在 这 个 区 网 当中 ， 给 予 一 个 连续 的 IP 群 用 来 发 放 成 动态 IP 的 设 定 ， 那 
个 IP11P2 指 BA IP 范围 。 举例 来 说 ， 你 想 要 开放 192.168.100.101 到 
192.168.100.200 这 100 个 IP 用 来 作为 动态 分 配 ， 那 就 是 : range 192.168.100.101 
192.168.100.200; 


e host 主机 名 {...); 这 个 host 就 是 指定 固定 IP 对 应 "| 固定 MAC 的 设 定 值 ， 那个 主机 名 可 
以 自己 想 想 再 给 予 即 可 。 不 过 在 大 括号 内 就 得 要 指定 MAC 与 国定 的 IP 鹃 ! 那 这 两 个 设 
定 值 怎么 设 定 呢 ?看 看 底下 史 : 


o hardware ethernet 硬件 地 址 : 利用 网 络 卡 上 面 的 固定 硬件 地 址 来 设 定 ， 亦 即 该 设 定 
仅 针 对 这 个 硬件 地 址 有 效 的 意思 ; 


o fixed-address IP 地 址 : 给 予 一 个 国定 的 |P 地 址 的 意思 。 


说 再 多 也 没有 什么 用 啦 ! 让 我 们 实际 来 玩 一 个 案例 吧 ! 你 就 知道 该 如 何 处 理 了 。 


吕 


12.2.3 一 个 局 域 网 络 的 DHCP 服务 器 设 定案 例 


假设 我 的 环境 当中 ，Linux 主机 除了 NAT 服务 器 之 外 还 得 要 负责 其 他 服务 器 ， 例 如 邮件 服务 
器 的 支持 。 而 在 后 端 局 域 网 络 中 则 想 要 提供 DHCP 的 服务 。 整 个 硬件 配置 的 情况 就 如 同 第 三 
章 的 图 3.2-1 所 示 的 内 部 独立 区 网 (centos.vbird 网 域 )。 需要 注意 的 是 ， 在 图 中 Linux Router 
有 两 块 接口 ， 其 中 eth1 对 内 而 eth0 对 外 ， 至 于 其 他 的 网 络 参数 设计 为 : 


及 


e Linux 主机 对 内 的 eth1 的 IP 设 定 为 192.168.100.254 这 
e 内 部 网 段 设 定 为 192.168.100.0/24 这 一 段 ， 0 router 为 192.168.100.254 


， 此 外 DNS 主机 的 IP 为 中 华电 信 的 168.95.1.1 及 Seednet 的 139.175.10.20 这 两 个 ; 

。 我 想 要 让 每 个 使 用 者 预 设 租 约 为 3 天 ， 最 长 为 6 天 ; 

。 只 想 要 分 配 的 IP 只 有 192.168.100.101 到 192.168.100.200 这 几 个 ， 其 他 的 IP 则 保留 
下 来 ; 

。 我 还 有 一 部 主机 ， 他 的 MAC 是 『 08:00:27:11:EB:C2 4 ， 我 要 给 他 的 主机 名 为 win7 ， 
且 IP 为 192.168.100.30 这 个 (请 对 照 图 3.2-1 喔 !)。 


那 我 的 配置 文件 就 会 像 底下 这 个 样子 了 : 


[root@www ~]# vim /etc/dhcp/dhcpd.conf 
# 1\， 整 体 的 环境 设 定 





ddns-update-style none; &lt ;== 不 要 更 新 DDNS 的 设 定 
ignore client-updates; &1t ;== 和 忽略 客户 端的 DNS 更 新 功能 
default-lease-time 259200; &1t ;== 预 设 租 约 为 3 天 
max-lease-time 518400; &]t;== 最 大 租约 为 6 天 

option routers 192.168.100.254; &1t;== 这 就 是 预 设 路 由 

option domain-name "centos.vbird"; &Lt;== 给 予 一 个 领域 名 


option domain-name-servers 168.95.1.1, 139.175.10.20; 
# 上 面 是 DNS 的 IP 设 定 ， 这 个 设 定 值 会 修改 客户 端的 /etc/resolv.conf 档案 内 容 
# 2\， 关 于 动态 分 配 的 IP 
subnet 192.168.100.0 netmask 255.255.255.0 { 
range 192.,168.100.101 192.,168.100.200; &lt;== 分 配 的 IP 范围 


# 3\， 关于 固定 的 IP 啊 ! 


host win7 { 
hardware ethernet 08:00:27:11:EB:C2; &1t;== 客 户 端 网 卡 MAC 
fixed-address 192.168.100.30; &1t; == 给予 固定 的 IP 
} 


} 
# 相关 的 设 定 参数 意义 ， 请 查询 前 一 小 节 的 介绍 ， 或 者 man dhcpd.conf 


够 简单 吧 ! 这 样 就 设 定好 了 ! 你 可 以 复制 上 头 的 数据 然后 修改 一 下 ， 让 里 头 的 IP 参数 符合 你 
的 环境 ， 就 能 够 设 定好 你 的 DHCP 服务 器 了 。 接 下 来 理论 上 你 就 能 够 启动 dhcp 了 。 不 过 ， 
在 某 些 早期 的 Linux distribution 上 面 ， 当 你 的 Linux 主机 具有 多 个 接口 时 ， 你 的 一 个 设 定 可 
能 会 让 多 个 接口 同时 来 监听 ， 那 就 可 能 会 发 生 错误 了 。 


举例 来 说 ， 我 们 现在 的 设 定 是 192.168.100.0/24 这 个 在 eth1 上 头 的 网 域 ， 假 设 你 还 有 一 个 界 
面 eth2 在 192.168.2.0/24 好 了 ， 那 万 一 你 的 DHCP 同时 监听 两 块 接 口 的 话 ， 想 一 想 ， 如 果 
192.168.2.0/24 网 域 的 客户 端 发 送出 dhcp 封包 的 要 求 时 ， 他 会 取得 什么 IP ? 当然 是 
192.168.100.X ! 所 以 嚼 ， 我 们 就 得 要 针对 dhcpd 这 个 执行 文件 设 定 他 监听 的 接口 ， 而 不 是 
针对 所 有 的 接口 都 监听 啊 ! 你 说 是 吧 1^^ 1 那 如 何 处 理 呢 ?在 CentOS (Red Hat 系统 ) 可 以 
这 样 做 : 


[root@www ~]# vim /etc/sysconfig/dhcpd 
DHCPDARGS="ethO" 


不 过 这 个 动作 在 CentOS 5.x 以 后 的 版 本 上 面 已 经 不 需要 了 ， 因 为 新 版 本 的 dhcp 会 主动 的 分 
析 服 务 器 的 网 段 与 实际 的 dhcpd.conf 设 定 ， 如 果 两 者 无 法 吻合 ， 就 会 有 错误 提示 ， 人 性 化 多 
了 。 人 ^.^ | 接 下 来 我 们 可 以 开始 启动 dhcp 试看 看 喝 ! 


12.2.4 DHCP 服务 器 的 启动 与 观察 
开始 来 启动 dhcp 吧 ! 在 启动 前 你 得 要 注意 几 件 事情 喔 : 


。 你 的 Linux 服务 器 网 络 环境 已 经 设 定好 ， 例 如 eth1 已 经 是 192.168.100.254 ; 
。 你 的 防火 墙 规则 已 经 处 理 好 ， 例 如 : (1) 放 行内 部 区 网 的 联机 、(2)iptables.rule 的 NAT 服 
务 已 经 设 定 妥当 ; 


另外 你 要 注意 的 是 : dhcpd 使 用 的 堆 口 是 port 67 ， 并 且 局 动 的 结果 会 记录 在 
/varlog/messages 档案 内 ， 你 最 好 能 去 观察 一 下 /var/log/messages 所 显示 的 dhcpd 相关 信 
息 才 好 。 


# 1N\， 启动 后 观察 一 下 者 口 的 变化 : 

[root@www ~]# /etc/init.d/dhcpd start 

[root@www ~]# chkconfig dhcpd on 

[root@www ~]# netstat -tlunp &#124; grep dhcp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address PID/Program name 
udp 0 9 0.0.0.0:67 0.0.0.0:* 1581/dhcpd 


# 2\， 固定 去 看 看 登录 文件 的 输出 信息 

[root@www ~]# tail -n 30 /var/log/messages 

JUL 27 01:51:24 www dhcpd: Internet Systems Consortium DHCP Server 4.1.1-P1 

JUL 27 01:51:24 www dhcpd: Copyright 2004-2010 Internet Systems Consortium. 

JuUL 27 01:51:24 www dhcpd: All rights reserved ， 

JUL 27 01:51:24 ww dhcpd: For info, please visit https://www.isc.org/software/dhcp/ 
JUL 27 01:51:24 www dhcpd: WARNING: Host declarations are global. They are not 
limited to the scope you declared them in. 

JUL 27 01:51:24 www dhcpd: Not searching LDAP since ldap-server, ldap-port and 
ldap-base-dn were not specified in the config file 

JUL 27 01:51:24 www dhcpd: Wrote 0 deleted host decls to leases file. 

JUL 27 01:51:24 www dhcpd: Wrote 0 new dynamic host decls to leases file. 

JUL 27 01:51:24 www dhcpd: Wrote 0 leases to leases file. 

JUL 27 01:51:24 www dhcpd: Listening on LPF/eth1/08:00:27:2a:30:14/192.168.100.0/24 
JUL 27 01:51:24 www dhcpd: Sending on LPF/eth1/08:00:27:2a:30:14/192.168.100,.0/24 
mo I 


看 到 这 些 资 六 料 就 是 成 功 的 象征 啦 1 尤其 是 上 述 有 特殊 字体 的 部 分 5 恭喜 你 啊 |! 站 是 『 福 气 
啦 1 不过， 万 一 你 看 到 的 登录 档 是 类 似 底下 的 模样 呢 ? 


JUL 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 7: unknown option 
dhcp.domain-name-server 

JUL 27 01:56:30 www dhcpd: option domain-name-server#011168. 

JUL 27 01:56:30 www dhcpd: 人 

JUL 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 9: Expecting netmask 
JUL 27 01:56:30 www dhcpd: subnet 192.168.100.0 network 

JUL 27 01:56:30 www dhcpd: 人 

JUL 27 01:56:30 www dhcpd: Configuration file errors encountered -- exiting 


上 述 的 数据 表示 在 第 7, 9 行 恐 怕 有 点 设 定 错误 ， 设 定 错 误 的 地 方 在 行 号 底下 还 有 指数 符号 (^) 
特别 标注 出 来 ! 由 上 面 的 情况 来 看 ， 第 7 行 的 地 方 应 该 是 domain-name-servers 忘 了 加 Ss 
了 ， 而 第 9 行 则 是 参数 下 错 ， 应 该 是 netmask 而 非 network ! 这 样 了 解 乎 ? 


12.2.5 内 部 主机 的 IP 对 应 


如 果 你 有 仔细 的 瞧 过 第 二 章 的 网 络 基 础 的 话 ， 那 么 还 会 记得 那个 /etc/hosts (第 四 章 
六 的 和音 么 我 现在 使 用 DHCP 之 后 ， 糟 糕 ! 我 
怎么 知道 哪 一 部 PC 连 上 我 的 主机 ， 那 要 怎么 填写 /etc/hosts 的 内 容 呢 ?这 丨 是 太 简单 了 1! 就 


将 所 有 可 能 的 计算 机 IP 都 加 进去 该 档案 咱 1 ^A ^ ! 以 乌 哥 为 例 ， 在 这 个 例子 中 ， 乌 哥 的 分 
的 IP 至 少 有 192.168.100.30， 192.168.100.101 ~ 192.168.100.200 ， 所 以 /etc/hosts 可 以 写 
成 : 


[root@www ~]# vim /etc/hosts 

127.0.0.1 Eb localhost.localdomain localhost 
192.168.100.254 vbird-server 

192.168.100.30 win7 

192.168 .100 ,101 dynamic-101 

192.168.100 ,102 dynamic-102 

ee 0 

192.168.100.200 dynamic-200 


end 来 的 IP 都 已 经 有 纪录 了 ， ry a dt 
， 更 好 的 解决 方案 则 是 架设 内 部 的 DNS 服务 器 ， 这 样 一 来 ， 内 部 的 其 他 Linux 服务 器 也 不 
ee /etc/hosts 就 能 够 取得 每 部 主机 的 |P 与 主机 名 对 应 ， 那 样 就 更 加 妥当 啦 ! 


12.3 DHCP 客户 端的 设 定 


DHCP 的 客户 端 可 以 是 Windows 也 可 以 是 Linux 呢 ! 鸟 哥 的 网 域内 使 用 三 部 计算 机 ， 就 如 图 


3.2-1 所 示 的 那样 。Linux 与 Windows XP 的 设 定 方式 已 经 分 别 在 第 四 章 与 第 三 章 谈 过 了 ， 底 
下 就 稍微 介绍 过 而 已 。 至 于 图 示 的 部 分 ， 我 们 主要 是 以 Windows 7 来 做 介绍 鹃 。 


12.3.1 客户 端 是 Linux 
Linux 的 网 络 参 数 设 定 还 记得 吧 ? 不 记得 的 话 就 得 要 打 屁 股 了 | 在 第 四 章 (4.2.2) 我 们 谈 过 自 
动 取得 IP 的 方式 ， 设 定 丨 的 很 简单 : 


[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 


DEVICE=etho 

NM_CONTROLLED=no 

ONBOOT=yes 

BOOTPROTO=dhcp &1t;== 就 是 他 ! 指定 这 一 个 就 对 了 | 


[root@clientlinux ~]# /etc/init.d/network restart 


同时 记得 要 拿 掉 预 设 路 由 的 设 定 喔 | 改 完 之 后 ， 就 将 我 们 的 整个 网 络 重新 启动 即 可 (不 要 使 用 
ifdown 与 ifup ， 因 为 还 有 预 设 路 由 要 设 定 | )。 请 注意 ， 如 果 你 是 在 远程 进行 这 个 动作 ， 你 

的 联机 『 肯 定 会 挂 掉 1 」， 因 为 网 络 卡 被 你 关 了 听 ! 呵呵 ! 所 以 请 在 本 机 前 面 才 进行 喔 ! 如 

果 执 行 的 结果 有 找到 正确 的 DHCP 主机， 那么 几 个 档案 可 能 会 被 更 动 喔 : 


# 1\， DNS 的 IP 会 被 更 动 呢 ! 查阅 一 下 resolv.conf 先 : 
[root@clientlinux ~]# cat /etc/resolv.conf 


search centos.vbird &1t;== 还 记得 设 定 过 domain-name 否 ? 
domain centos.vbird &lt;= = 还 记得 设 定 过 domain-name 否 ? 


nameserver 168.95.1.1 &1t ;== 这 就 是 我 们 在 dhcpd .conf 内 的 设 定 值 
nameserver 139.175.10.20 


# 2\， 观 察 一 下 路 由 啦 ! 
[root@clientlinux ~]# route -n 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.100.0 0.0.0.0 255.255.255.0 UU 0 0 © etho 
0.0.0.0 192.168.100.254 0.0.0.0 UG 0 0 © etho 


# 嘿 1 没 错 1 路 由 也 被 正确 的 提 到 了 1! 0K 的 啦 ! 


# 3\， 察 看 一 下 客户 端的 指令 吧 ! 

[root@clientlinux ~]# netstat -tlunp &#124; grep dhc 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
udp 0 0 0.0.0.0:68 0.0.0.0:* 1694/dhclient 

# 你 没 看 错 ! 确实 是 有 个 小 程序 在 监测 DHCP 的 联机 状态 呐 ! 


# 4\， 看 一 看 客户 端 租 约 所 记载 的 信息 吧 ! 
| ~]# cat /var/lib/dhclient/dhclient* 
lease { 
interface "ethO"; 
fixed-address 192.168.100.101; &1t;== 取 得 的 IP 哆 ! 
option subnet-mask 255.255.255.0; 
option routers 192.168.100.254; 
option dhcp-lease-time 259200; 
option dhcp-message-type 5; 
option domain-name-servers 168.95.1.1,139.175.10.20; 
option dhcp-server-identifier 192.168.100.254; 
option domain-name "centos.vbird",; 
renew 4 2011/07/28 05:01:24; &Lt;== 下 一 次 预计 更 新 (renew) 的 时 间 点 
rebind 5 2011/07/29 09:06:36; 
expire 5 2011/07/29 18:06:36; 
} 
# 这 个 档案 会 记录 该 适 配 卡 所 曾经 要 求 过 的 DHCP 信息 喔 ! 重要 ! 
# 有 没有 看 出 来 ， 他 几乎 就 与 你 设 定 的 /etc/dhcp/dhcpd.conf 类 似 ? 人 ^_ 人 人 


有 没有 发 现 其 实 你 的 客户 端 取得 的 数据 都 被 记载 在 人 leases 里 头 
啊 ? 如 果 你 有 多 张 网 卡 ， 那 么 每 张 网 卡 自己 的 DHCP 要 求 就 会 被 写 入 到 不 同 档 名 的 档案 当中 
去 ! 观察 该 档案 就 知道 你 的 数据 是 如 何 鹃 ! Re ! 


Tips: 你 或 许 会 问 说 ，dhcp 不 是 都 会 随机 取得 IP 吗 ? 那 为 什么 这 部 客户 端 
clientlinux.centos.vbird 每 次 都 能 够 取得 相同 的 固定 IP 呢 ? 很 简单 ， 因 为 上 头 的 dhclient- 
eth0.leases 里 面 的 fixed-address 指定 了 想 要 固定 IP “ 0 。 如 果 DHCP 服务 器 的 该 IP 没 
有 被 用 走 ， 也 在 规定 的 range 设 定 值 内 ， 那 就 会 发 放 给 你 这 个 IP 了。 如 果 你 想 要 不 同 的 IP 
呢 ? 那 就 将 你 想 要 的 IP 取代 上 述 的 设 定 值 啦 ! 





例题 : 在 文献 中 谈 到 ， 如 果 区 网 内 有 多 个 DHCP 服务 器 (假设 有 DHCP1, DHCP2)， 那 么 每 次 
se a ，DHCP 服务 器 将 是 先 抢先 诛 的 局 面 。 但 是 让 8 
DHCP1 服务 器 的 IP 后 ， 未 来 重新 启动 网 络 ， 都 只 会 取得 DHCP1 的 网 络 参数 ， 这 是 为 什 


么 ? 答 :看 到 上 述 的 dhclient-eth0.leases 客户 端 档案 了 吗 ? 因为 你 的 主机 想 要 取得 上 次 取得 
的 网 络 参数 ， 因 此 将 会 对 DHCP1 要 求 网 络 参数 。 如 果 你 想 要 使 用 先 抢先 赢 的 方式 来 取得 IP 
， 或 者 想 要 使 用 DHCP2 来 取得 IP ， 那 么 得 要 修订 或 者 删除 dhclient-eth0.leases 才 行 。 


12.3.2 客户 端 是 Windows 


在 Windows 底下 设 定 DHCP 协议 以 取得 IP 实在 是 很 简单 喔 ! 例如， 你 可 以 到 第 三 章 的 
3.2.2 小 节 去 瞧 瞧 如 何 设 定 的 撒 取 图 示 。 我 们 这 里 以 Windows 7 作为 介绍 好 了 。 你 可 以 依据 
『 开 始 」-->『 控 制 台 」-->『 检 视 网 络 状态 及 工作 」 --> 『 变 更 适 配 卡 设 定 」]， 在 出 现 的 图 示 
中 ， 选 择 属于 你 的 相关 网 卡 ， 然 后 连 击 两 下 之 后 ， 就 开始 底下 的 设 定 程 序 : 


1， 如 上 所 述 ， 点 击 网 络 卡 设 定 后 ， 会 出 现 如 下 图 示 : 
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统 设 定 DHCP 的 方式 


1. 在 图 12.3-1 的 地 方 按 下 箭头 所 指 的 『 内 容 」 处 ， 就 会 出 现 如 下 画面 跪 : 
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二: 日 期 和 时 阐 
日 期 和 时 间 | 其 他 时 外 
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‘time.windows.com 


设 定 绚 了 纺 路 时 间 设 定 : 
Y| 握 洪 区 并 路 竺 简 何 张 二 司 志 计 得 (9) 


伺服 里 (E): tock.stdtime.gov.tw v 立即 更 新 人 U) 


脖 锋 已 经 熏 tock.stdtime.gov.tw 人 011/7/29 上 午 02:19 成 功 完 成 同步 不 
理 可 
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12.3-2、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 


在 上 面 的 画面 当中 ， 先 点 选 TCP/IP4 第 四 版 IP 协议 ， 然 后 按 下 『 内 容 」 就 可 以 开始 来 修改 网 络 参数 嘿 ! 


1， 接 下 来 如 下 图 所 示 ， 你 只 要 勾 选 『 自 动 取得 IP 地 址 」 那 个 项 目 ， 然 后 按 下 『 确 定 」 并 离 
开设 定 画 面 ， 如 此 一 来 Windows 就 会 开始 自动 取得 IP 的 工作 了 。 
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加 自动 取得 IP 位 址 (0) 
名 使 用 下 列 的 下 位 址 心 ) 


回 自动 取得 DNS 伺服 器 位 址 全 ) 
名 使 用 下 列 的 DNS 伺服 器 位 址 E): 





结束 时 确 妨 设 定 民 ) 



















及 定 DHCP 的 方式 


Windows 7 系统 设 


那 你 如 何 确认 你 的 IP 已 经 被 顺利 的 取得 
一 个 名 为 『 "Winlpelg 」 来 观察 你 的 IP1Y 

用 命 3 令 提示 
序 ]--> 全 令 提示 字符 」 来 取出 终端 机 ， 


C:\Users\win7&gt; 
. (前 面 省 略 )...， 
以 太 网 络 卡 区 域 联机 : 


ipconfig /all 


联机 特定 DNS 后 组 
描述 
实体 地 址 
DHCP 已 启用 
自动 设 定 启用 
链接 -本 机 IPv6 地 址 
IPV4 地 址 
子 网 掩 码 


Bt ee A lo No A 


预 设 网 关 
DHCP 服务 器 
DNS /RS 


0 和 


NetBIOS over Tcpip 


C:\Users\win7&gt; ipconfig /renew 
# 这 样 可 以 立即 要 求 更 新 IP 信息 喔 ! 


这 样 就 OK 的 啦 ! 简单 吧 ! 


在 |] 


字符 来 观察 才 行 。 你 可 以 使 用 : 


; 2011 年 7 月 27 日 上 午 11:59:18 &1t;== 这 
: 2011 年 7 月 30 日 上 午 11:59:18 

: 192.168.100.254 

: 192.168.100.254 &lt;== 这 一 部 DHCP 服务 器 


取消 





图 12.3-3、 局 域 网 络 的 


呢 ? 如 果 是 在 早期 的 Windows 95 ， 你 可 以 使 用 


nT 


及 定 。 不 过 在 windows 2000 以 后 ， 你 可 能 需要 使 
『 开 始 ]-->『 所 有 程序 ]-->『 附 属 应 用 程 


然后 这 样 处 理 看 看 : 


: Centos.vbird 
: Intel(R) PRO/1000 MT Desktop Adapter 
: 08-00-27-11-EB-C2 


: fe80:;:ec92:b907:bc2a:a5fa%11( 偏 好 选项 ) 
: 192.168.100.30( 偏 好 选项 ) &lt;== 这 是 取得 的 IP 


S255R255%0 
是 租约 





682955 人 二 
139.175.10.20 


&1t ;== 取 得 的 DNS 


: 启用 
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12.4 DHCP 服务 器 端 进 阶 观察 与 使 用 


如 果 你 要 管理 的 是 几 十 部 其 至 是 几 百 部 的 计算 机 时 ， 你 总 是 希望 能 够 根据 座位 来 进行 IP 的 给 
了 因此 ， 固 定 IP 配合 MAC 就 显 的 很 重要 啦 |! 那么 如 何 取得 每 部 主机 的 IP 呢 ?还 有 ， 你 

查询 到 相关 的 租约 呢 ? 以 及 ， 如 果 你 还 想 要 进行 远程 开机 ， 帮 使 用 者 在 国定 的 时 间 就 开 
产 旨 ? 那 就 来 看 看 底下 的 其 他 用 途 吧 | 


12.4.1 检查 租约 档案 


时 
A 
区 
剖 
六 
[ry 
> 
区 


客户 端 会 主动 的 纪录 租约 信息 ， 那 服务 器 端 更 不 能 忘记 记录 史 ! 服务 器 3 


So 


[root@www ~]# cat /var/lib/dhcpd/dhcpd.1leases 
lease 192.168.100.101 { 
starts 2 2011/07/26 18:06:36; &lLt;== 租 约 开始 日 期 
ends 5 2011/07/29 18:06:36; &1t ;== 租 约 结束 日 期 
tstp 5 2011/07/29 18:06:36; 
cltt 2 2011/07/26 18:06:36; 
binding state active; 
next binding state free; 
hardware ethernet 08:00:27:34:4e:44; &Lt;== 客 户 端 网 卡 





从 这 个 档案 里 面 我 们 就 知道 有 多 少 客户 端 已 经 向 我 们 申请 了 DHCP 的 IP 使 用 了 呢 ! 很 容易 了 
解 吧 ! 


12.4.2 让 大 量 PC 都 具有 固定 IP 的 脚本 


想 一 想 ， 如 果 你 有 一 百 台 计算 机 要 管理 ， 每 部 计算 机 都 希望 是 国定 IP 的 情况 下 ， 那 你 要 如 何 
? 很 简单 ， 透 过 DHCP 的 fixed-address 就 行 啦 ! 但 是 ， 这 一 百 台 计算 机 的 MAC 如 何 

? 你 要 怎么 改 啦 ? 难道 每 部 计算 机 都 去 抄写 ， 然 后 再 回来 设 定 dhcpd.conf 吗 ? 这 也 太 可 
， ee 既然 每 部 计算 机 最 终 都 得 要 开机 ， 那 么 你 在 开机 之 后 ， 利 用 手动 的 方法 来 设 定 好 每 
部 主机 的 IP 后 ， 在 根据 底下 的 脚本 来 处 理 好 你 的 dhcpd.conf 史 ! 


[root@www ~]# vim setup_dhcpd.conf 

#!/bin/bash 

read -p "Do you finished the IP's settings in every client (y/n)? " yn 
read -p "How many PC's in this class (ex&gt; 60)? " num 


Te [ "$yn" 二 2 时 ] then 
for site in $(seq 1 ${num}) 
do 


siteip="192.168.100.${site}" 
allip="$allip $siteip" 
ping -c 1 -w 1 $siteip &gt; /dev/null 2&gt;&1 
TT [ 中 二 二 "oOo" || then 
okip="$okip $siteip" 
else 
errorip="$errorip $siteip" 
echo "$siteip is DOWN" 
fi 
done 
[ -f dhcpd.conf ] && rm dhcpd.conf 
for site in $allip 


do 
pcname=pc$(echo $site &#124; cut -d '.' -f 4) 
mac= $(arp -n &#124; grep "$site " &#124; awk '{print $3}') 
echo host $pcname {" 
echo " hardware ethernet ${mac};" 
echo " fixed-address ${site};" 
echo mm es 
echo " host $pcname {" &gt;&gt; dhcpd.conf 
echo " hardware ethernet ${mac};" &gt;&gt; dhcpd.conf 
echo " fixed-address ${site};" &gt;&gt; dhcpd.conf 
echo " }" &gt;&gt; dhcpd.conf 
done 


fi 
echo "You can use dhcpd.conf (this directory) to modified your /etc/dhcp/dhcpd.conf" 
echo "Finished." 


这 个 脚本 的 想法 很 简单 ， 如 果 你 管理 的 计算 机 都 是 Linux 的 话 ， 那 么 先 开 机 后 使 用 『 ifconfig 
eth0 YOURIP 」 来 设 定 对 应 的 IP ， 在 岛 哥 这 个 例子 中 ， 我 使 用 的 是 192.168.100.X/24 这 个 
区 段 ， 此 时 IP 就 设 定好 了 | 然后 在 透 过 上 面 的 脚本 跑 一 次 ， 每 部 计算 机 的 MAC 与 IP 对 应 

就 顺利 的 写 入 dhcpd.conf 嚼 1 然后 你 在 将 它 贴 上 /etc/dhcp/dhcpd.conf 即 可 ! 如 果 你 管理 的 
计算 机 是 Windows 的 话 ， 那 使 用 文字 接口 下 达 『 netsh interface ip set address xxx 4 之 类 
的 指令 来 修订 嘿 ! 


12.4.3 使 用 ether-wake 实 程 自 动 开 机 (remote boot) 


既然 已 经 知道 客户 端的 MAC 地 址 了 ， 如 果 客 户 端 的 主机 符合 一 些 电源 标准 ， 并 且 该 客户 端 
主机 所 使 用 之 网 络 卡 屋 主板 支持 网 络 唤醒 的 功能 时 ， 我 们 就 可 以 咀 过 网 络 来 让 客户 端 计算 机 
开机 了 。 如 果 你 有 一 部 主机 想 要 让 他 可 以 透 过 网 络 来 启动 时 ， 你 必须 要 在 这 部 客户 端 计 算 机 
上 进行 : 


.首先 你 得 要 在 BIOS 里 面 设 定 『 网 络 唤醒 J 的 功能 ， 和 否则 是 没有 用 的 喔 ! 
2， 再 来 你 必须 要 让 这 部 主机 接 上 网 络 线 ， 并 且 电 源 也 是 接 通 的 。 
3.， 将 这 部 主机 的 MAC 抄 下 来 ， 然 后 关机 等 待 网 络 唤醒 。 


接 下 来 请 到 永远 开 着 的 主机 DHCP 服务 器 上 面 (其 实 只 要 任何 一 部 Linux 主机 均 可 ! ) ， 安 装 
net-tools 这 个 软件 后 ， 就 会 取得 ether-wake 这 个 指令 ， 这 就 是 网 络 唤醒 的 主要 功能 ! 那 该 如 
何 使 用 这 个 指令 呢 ? 假设 客户 端 主机 的 MAC 为 11:22:33:44:55:66 并 且 与 我 的 服务 器 eth1 相 
连接 好 了 ， 那 么 你 想 要 让 这 部 主机 被 唤醒 ， 就 这 样 做 吧 : 


[root@www ~]# ether-wake -i eth1 11:22:33:44:55:66 


# 更 多 功能 可 以 这 样 查阅 喔 : 
[root@www ~]# ether-wake -u 


然后 你 就 会 发 现 ， 哈 哈 ! 那 部 客户 端 主机 被 启动 了 |! 以 后 如 果 你 要 连 到 局 域 网 络 内 的 话 ， 只 
要 能 够 连 上 你 的 防火 墙 主机 ， 然 后 透 过 这 个 ether-wake 软件 ， 就 能 够 让 你 局 域 网 络 内 的 主机 
启动 了 ， 控 管 上 面 就 更 加 方便 的 啦 ! 你 说 是 吧 | ^ 人 和 


Tips: 鸟 哥 办 公 室 有 一 部 旧 机 是 经 常用 来 测试 的 机 器 ， 但 是 因为 比较 耗 电 ， 因 此 当 鸟 哥 离开 办 
公 室 时 ， 就 会 将 计算 机 关闭 。 不 过 乌 哥 办公 室 有 一 部 NAT server 在 负责 防火 墙 的 第 一 道 关 
卡 ， 当 鸟 哥 在 家 里 有 需要 查询 到 学 校 桌 机 的 数据 时 ， 桌 机 关 了 怎 办 ? 没关系 ， 透 过 NAT 
server 登入 后 ， 使 用 ether-wake 唤醒 旧 机 ， 那 就 能 够 开机 进去 工作 嚼 1 这 样 也 比较 不 怕 耗 电 


问题 ~ 





12.4.4 DHCP 与 DNS 的 关系 


我 们 知道 局 域 网 络 内 如 果 很 多 Linux 服务 器 时 ， 你 得 要 将 private IP 加 入 到 每 部 主机 的 
/etc/hosts 里 面 ， 这 样 在 联机 阶段 的 等 待 时 间 才 不 会 有 途 时 或 者 是 等 待 太 久 的 问题 。 问 题 是 ， 
如 果 计 算 机 数量 太 大 ， 又 有 很 多 测试 机 时 ， 这 时 你 得 要 常常 去 更 新 维护 那些 重 灌 过 的 机 器 的 
/etc/hosts ， 烦 不 烦 呐 ? 


此 时 在 区 网 内 架设 一 部 DNS 服务 器 负责 主机 名 解析 就 很 重要 ! 因此 既然 已 经 有 DNS 服务 器 
帮忙 进行 主机 名 的 解析 ， 那 你 根本 不 需要 更 动 /etc/hosts ! 未 来 的 新 机 器 或 者 是 新 灌 的 计算 机 
也 不 需要 改写 任何 网 络 参 数 ， 这 样 维护 会 轻松 很 多 。 因此 ， 一 个 好 的 区 网 内 ， 理 论 上 ， 我 们 
应 该 在 DHCP 服务 器 主机 上 面 在 安装 一 个 DNS 服务 器 ， 提 供 内 部 计算 机 的 名 称 解 析 为 宜 。 
相关 的 设 定 就 请 参考 第 十 九 章 DNS 的 介绍 鹃 。 


e DHCP 响应 速度 与 有 网 管 switch 的 设 定 问题 


鸟 哥 在 昆山 信息 传播 系 (http://www.dic.ksu.edu.tw) 负责 五 间 计 算 机 教室 的 维护 ， 每 间 计 算 机 
教室 内 部 的 giga switch 是 低 阶 的 有 网 管 功能 的 机 器 ! 有 网 管 功 能 机 器 的 设 定 信 息 比 较 多 ， 
switch 也 能 够 进行 封包 异常 的 侦 测 与 抵挡 。 问 题 是 ， 如 果 抵 挡 的 行为 『 太 超过 」 时 ， 也 可 能 


造成 许多 问题 。 


岛 哥 管理 的 计算 机 教室 在 重新 启动 网 络 取得 DHCP 时 ， 都 会 等 待 几 乎 达 30 秒 ， 虽 然 最 终 是 
成 功 的 ， 但 是 等 这 么 久 呢 1 取得 IP 之 后 ， 网 络 速度 却 又 是 正常 的 ， 一 切 没 问 题 ~ 就 是 教导 网 
络 参 数 设 定时 ， 学 生 都 会 哇哇 叫 ! 以 为 失败 了 ， 有 的 等 了 将 近 一 分 钟 才 告知 取得 IP 且 为 正 


澡 


币 .…. 


后 来 问 了 有 经 验 的 计 中 的 罗 组 长 ， 才 发 现 可 能 是 switch 的 问题 。 大 多 在 设 定位 于 『L2 
FeaturesJ --> [FSpanning TreeJ --> 『STP Port SettingsJ 的 子 项 目 之 类 的 字眼 ， 将 STP 之 
类 的 堆 口 都 设 定 为 关闭 (Disabled) 看 看 ， 鸟 哥 做 完 这 个 设 定 后 ，DHCP 的 取得 就 顺畅 了 ! 连 
带 的 网 络 开机 功能 也 就 没有 问题 ~ 这 部 份 也 提供 给 大 家 参考 哟 |! 


Tips: 网 友 巩 立 伟 兄 来 信 谈 到 ，STP 主要 的 目的 是 在 抵挡 广播 风暴 ， 若 侦 测 到 广播 风暴 时 ， 该 
switch 的 堆 口 会 被 停 用 。 只 是 启动 这 个 功能 后 ， 会 较 缓 慢 的 进入 运作 状态 ， 所 以 会 产生 较 慢 
的 情况 发 生 。 较 好 的 switch 会 支援 RSTP (Rapid spanning tree protocol)， 速 度 会 较 快 一 
些 。 感 谢 朋 友 提 供 的 信息 喔 1^ 人 和 ^ 





12.5 重点 回顾 


。 DHCP (Dynamic Host Configuration Protocol) 可 以 提供 网 络 参数 给 客户 端 计算 机 ， 使 其 
2 办 设 定 网 络 的 功能 

。 透 过 DHCP 的 统一 管理 ， 在 同一 网 域 当中 就 比较 不 容易 出 现 IP 冲突 的 情况 发 生 ; 

。 DHCP 可 以 透 过 MAC 的 比 对 来 提供 Static IP (或 称 为 固定 IP)， 否 则 通常 提供 客户 端 
dynamic IP (或 称 为 动态 IP); 

。DHCP 除了 Static IP 与 DynamicIP 之 外 ， 还 可 以 提供 租约 行为 之 设 定 ; 

。 在 租约 期 限 到 期 之 前 ， 客户 端 dhcp 软件 即 会 主动 的 要 求 更 新 ( 约 0.5, 0.85 倍 租约 时 间 左 
右 ) ; 

。 DHCP 可 以 提供 的 MAC 比 对 、Dynamic IP 的 IP 范围 以 及 租约 期 限 等 等 ， 都 在 
dhcpd.conf 这 个 档案 当中 设 定 的 ; 

。 一 般 的 情况 之 下 ， 使 用 者 需要 自行 设 定 dhcpd.leases 这 个 档案 ， 不 过 ， 缆 正 的 租约 档案 
记录 是 在 /varllib/dhclient/dhclient-eth0.leases 里 面 ; 

。 如 果 只 是 要 单纯 的 DHCP 服务 ， 建 议 可 以 购买 类 似 IP 分 享 器 的 设备 即 可 提供 稳定 且 低 耗 
电 的 网 络 服务 

。 DHCP 服务 与 A 服务 的 相关 性 很 高 ; 

。 若 DHCP 客户 端 取 得 IP 的 速度 太 慢 ， 或 许可 以 找 一 下 有 网 管 switch 的 STP 设 定 值 。 


12.6 本 章 习 题 


。 DHCP 主要 的 两 种 IP 分 配 模式 为 何 ? 主要 的 两 种 分 配 模式 分 别 为 Dynamic IP 与 Static 
IP ，Static IP 透 过 MAC 的 比 对 ， 至 于 Dynamic IP 则 是 直接 取 用 网 域 中 尚未 被 使 用 到 的 
IP 来 进行 Client 端的 分 配 。 

。 在 有 DHCP 主机 存在 的 网 域 当 中 ， 且 client 端 亦 使 用 DHCP 来 规划 客户 端的 网 络 参数 ， 
那么 请 问 ， 在 该 网 域 当中 ，Client 端 透 过 DHCP 取得 IP 的 流程 为 何 ? 


1.， 首先 ，Client 端 会 发 出 一 个 DHCP 要 求 封包 ; 
2.，server 端 接 收 到 要 求 后 ， 会 主动 的 响应 信息 给 Client ; 
3，Client 若 接受 该 DHCP 主机 所 提供 的 参数 ， 则 主机 会 记录 下 租约 信息 ， 至 于 client 
端 则 开始 以 主机 提供 的 参数 设 定 其 网 络 
。 DHCP 是 如 何 发 送 Static IP 的 ? 可 以 使 用 何 种 指令 取得 该 信息 ? DHCP 主要 利用 网 络 卡 
的 硬件 地 址 ， 亦 即 俗 称 的 『 网 络 卡 卡号 ]， 也 就 是 MAC 来 进行 Client 端的 比 对 的 ， 至 于 
主动 取得 Client 端的 方式 ， 可 以 透 过 ping 以 及 arp 来 获得 。 


e 在 DHCP 服务 器 的 租约 档 ， 亦 即 /varlib/dhcpd/dhcpd.leases 当中 ， 记 录 了 什么 信息 ? 
这 个 档案 主要 记录 了 Client 端 连 上 Server 端的 纪录 数据 ， 他 会 被 DHCP 主机 用 来 判定 
与 Client 端的 租约 行为 弓 ! 

。 DHCP 的 登录 档 放置 于 何 处 ? 就 是 最 重要 的 /var/log/messages 这 个 档案 啦 ( 预 设 状况 
下 !) 


12.7 参考 数据 与 延伸 阅读 


http://en.wikipedia.org/Wwiki/Dynamic_ Host_ Configuration Protocol 

e。 其 他 可 供 查阅 之 数据 : DHCP mini HOWTO : 美文 
版 : http:Wtldp.org/HOWTO/DHCP/index.html DHCP mini HOWTO : 中 文 
版 : http://www .linux.org.tw/CLDP/MiniHOWTO/network/DHCP/ Internet Software 
consortium : http://www.isc.org/software/dhcp Study Area : http:/www.study- 
area.org/linux/servers/linux_dhcp.htm Study Area 网 络 开 机 (我 本 善良 兄 所 
写 ) : http://www.study-area.org/tips/wol.htm 


2002/11/23 : 第 一 次 完成 2003/03/15 : 加 入 相关 重点 回顾 、 与 练习 题 2003/09/10 : 修改 版 面 
去 ! 2006/12/05 : 将 昌 的 文章 移动 到 此 处 2006/12/06 : 好 累 ! 怎么 老 是 在 说 累 一 总 之 ， 完 成 
嘿 一 新 增加 ether-wake 的 网 络 唤醒 功能 。 2011/02/24 : 将 基于 CentOS 4.x 的 上 的 文章 移动 
到 此 处 2011/03/03 : 加 入 了 DNS 的 相关 性 ， 有 网 管 的 STP 会 影响 DHCP 的 取得 等 数据 。 

2011/07/27 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 2011/07/27 : 主要 是 将 Windows 的 图 示 


以 Windows 7 来 示意 嘿 |! 


第 十 三 章 、 文 件 服 务 器 之 一 : NFS 服务 器 


最 近 更 新 日 期 : 2011/07/27 


NFS 为 Network FileSystem 的 简称 ， 它 的 目的 就 是 想 让 不 同 的 机 器 、 不 同 的 操作 系统 可 以 彼 
此 分 享 个 别 的 档案 啦 ! 目前 在 Unix Like 当中 用 来 做 为 文件 服务 器 是 相当 不 错 的 一 个 方案 喔 ! 
基本 上 ，Unix Like 主机 连接 到 另 一 部 Unix Like 主机 来 分 享 彼此 的 档案 时 ， 使 用 NFS 要 比 
SAMBA 这 个 服务 器 快速 且 方 便 的 多 了 |! 此 外 ，NFS 的 设 定 摊 的 很 简单 ， 几 乎 只 要 记得 启动 
Remote Procedure Call 这 个 吹 吹 (RPC, 就 是 rpcbind 这 个 软件 啦 ! ) 就 一 定 可 以 架设 的 起 
来 ! 真是 不 错 啊 1 如 果 是 在 Linux PC cluster 的 环境 下 ， 这 个 服务 器 被 使 用 的 机 率 更 是 高 的 
多 喔 ! 所 以 得 来 玩 一 玩 啊 | 


。 13.1 NFS 的 由 来 与 其 功能 
o 13.1.1 什么 是 NFS ( Network FileSystem ) 
o 13.1.2 什么 是 RPC ( Remote Procedure Call ) 
o 13.1.3 NFS 启动 的 RPC daemons 
o 13.1.4 NFS 的 档案 访问 权限 
。 13.2 NFS Server 端的 设 定 
o 13.2.1 所 需要 的 软件 
o 13.2.2 NFS 的 软件 结构 
o 13.2.3 /etc/exports 配置 文件 的 语法 与 参数 
o 13.2.4 启动 NFS : rpcinfo 
o 13.2.5 NFS 的 联机 观察 : showmount, /varlib/nfs/etab, exportfs 
o 13.2.6 NFS 的 安全 性 : 防火 墙 与 埠 口 , 关机 注意 事项 
e。 13.3 NFS 客户 端的 设 定 
o 13.3.1 手动 挂 载 NFS 服务 器 分 享 的 资源 
0 13.3.2 客户 端 可 处 理 的 挂 载 参 数 与 开机 挂 载 ; 特殊 参数 
o 13.3.3 无 法 挂 载 的 原因 分 析 
o 13.3.4 自动 挂 载 autofs 的 使 用 
e 13.4 案例 演练 
e 13.5 重点 回顾 
。 13.6 本 章 习 题 
e 13.7 参考 数据 与 延伸 阅读 
e 13.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=114695 


13.1 NFS 的 由 来 与 其 功能 


NFS 这 个 藉 由 网 络 分 享 文件 系统 的 服务 在 架设 的 时 候 是 很 简单 的 ， 不 过 ， 它 最 大 的 问题 在 于 

『 权 限 」 方面 的 概念 | 因为 在 客户 端 与 服务 器 端 可 能 必须 要 具备 相同 的 账号 才能 够 存 取 某 些 
目录 或 档案 。 另 外 ，NFS 的 启动 需要 透 过 所 谓 的 远程 过 程 调 用 (RPC)， 也 就 是 说 ， 我 们 并 不 
是 只 要 启动 NFS 就 好 了 ， 还 需要 启动 RPC 这 个 服务 才 行 啊 ! 


因此 ， 在 开始 进行 NFS 的 设 定之 前 ， 我 们 得 先 来 了 解 一 下 ， 什 么 是 NFS 呢 ? 不 然 讲 了 一 堆 
也 没有 用 ， 对 吧 | 和 人 1 底下 就 来 谈 一 谈 什 么 是 NFS ， 且 NFS 的 启动 还 需要 什么 样 的 协议 
啊 | 


13.1.1 什么 是 NFS (Network FileSystem) 


NFS 就 是 Network FileSystem 的 缩写 ， 最 早 之 前 是 由 Sun 这 家 公司 所 发 展 出 来 的 ( 注 1)。 它 
最 大 的 功能 就 是 可 以 透 过 网 络 ， 让 不 同 的 机 器 、 不 同 的 操作 系统 、 可 以 彼此 分 享 个 别 的 档案 
(share files)。 所 以 ， 你 也 可 以 简单 的 将 他 看 做 是 一 个 文件 服务 器 (file server) 呢 ! 这 个 NFS 
服务 器 可 以 让 你 的 PC 来 将 网 络 远程 的 NFS 服务 器 分 享 的 目录 ， 挂 载 到 本 地 端的 机 器 当中 ， 
在 本 地 端的 机 器 看 起 来 ， 那 个 远程 主机 的 目录 就 好 像 是 自己 的 一 个 磁盘 分 区 槽 一 样 

(partition) ! 使 用 上 面相 当 的 便利 |! 
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Client 挂 载 示意 图 


就 如 同上 面 的 图 示 一 般 ， 当 我 们 的 NFS 服务 器 设 定好 了 分 享 出 来 的 /home/sharefile 这 个 目 
录 后 ， 其 他 的 NFS 客户 端 就 可 以 将 这 个 目录 挂 载 到 自己 系统 上 面 的 茶 个 挂 载 点 ( 挂 载 点 可 以 
自 定义 )， 例 如 前 面 图 示 中 的 NFS client 1 与 NFS client 2 挂 载 的 目录 就 不 相同 。 我 只 要 在 
NFS client 1 系统 中 进入 /home/data/sharefile 内 ， 就 可 以 看 到 NFS 服务 器 系统 内 的 


/home/sharefile 目录 下 的 所 有 数据 了 (当然 ， 权 限 要 足够 啊 1^ A) ! 这 个 /home/data/sharefile 
就 好 像 NFS client 1 自己 机 器 里 面 的 一 个 partition 虽 ! 只 要 权限 对 了 ， 那 么 你 可 以 使 用 cp， 
cd, mv , rm... 等 等 磁盘 或 档案 相关 的 指令 ! 真是 他 X 的 方便 呐 ! 


好 的 ， 既 然 NFS 是 透 过 网 络 来 进行 数据 的 传输 ， 那 么 经 由 第 二 齐 谈 到 的 socket pair 的 概念 
你 会 知道 NFS 应 该 会 使 用 一 些 起 口 吧 ? 那 么 NFS 使 用 哪个 埠 口 来 进行 传输 呢 ? 基本 上 NFS 
这 个 服务 的 堆 口 开 在 2049 ， 但 是 由 于 文件 系统 非常 复杂 ， 因 此 NFS 还 有 其 他 的 程序 去 启动 
额外 的 端口 ， 但 这 些 额外 的 端口 启动 的 号 码 是 ?了 答案 是 .... 不 知道 1! @ @ ! 因为 预 设 NFS 
用 来 传输 的 埠 口 是 随机 选择 小 于 1024 以 下 的 埠 口 来 使 用 的 。 咱 ! 那 客户 端 怎么 知道 你 服务 器 
端 使 用 那个 埠 口 啊 ? 此 时 就 得 要 远程 过 程 调 用 (Remote Procedure Call, RPC) 的 协定 来 辅助 
啦 ! 底下 我 们 就 来 谈 谈 什么 是 RPC? 


13.1.2 什么 是 RPC (Remote Procedure Call) 


因为 NFS 支持 的 功能 相当 的 多 ， 而 不 同 的 功能 都 会 使 用 不 同 的 程序 来 启动 ， 每 启动 一 个 功能 
就 会 启用 一 些 端 口 来 传输 数据 ， 因 此 ，NFS 的 功能 所 对 应 的 端口 才 没 有 固定 住 ， 而 是 随机 取 
用 一 些 未 被 使 用 的 小 于 1024 的 埠 口 来 作为 传输 之 用 。 但 如 此 一 来 又 造成 客户 端 想 要 连 上 服务 
器 时 的 困扰 ， 因 为 客户 端 得 要 知道 服务 器 端的 相关 埠 口 才能 够 联机 吧 ! 


此 时 我 们 就 得 需要 远程 过 程 调用 (RPC) 的 服务 啤 ! RPC 最 主要 的 功能 就 是 在 指定 每 个 NFS 
功能 所 对 应 的 port number ， 并 且 回 报 给 客户 端 ， 让 客户 端 可 以 连结 到 正确 的 埠 口 上 去 。 那 
RPC 又 是 如 何 知道 每 个 NFS 的 堆 口 呢 ? 这 是 因为 当 服 务 器 在 启动 NFS 时 会 随机 取 用 数 个 堆 
口 ， 并 主动 的 向 RPC 注册 ， 因 此 RPC 可 以 知道 每 个 堆 口 对 应 的 NFS 功能 ， 然 后 RPC 又 是 
固定 使 用 port 111 来 监听 客户 端的 需求 并 回报 客户 端正 确 的 者 口 ， 所 以 当然 可 以 让 NFS 的 局 
动 更 为 轻松 愉快 了 | 

Tips: 所 以 你 要 注意 ， 要 启动 NFS 之 前 ，RPC 就 要 先 启 动 了 ， 否 则 NFS 会 无 法 向 RPC 注 
册 。 另外 ，RPC 若 重 新 启动 时 ， 原 本 注册 的 数据 会 不 见 ， 因 此 RPC 重新 启动 后 ， 它 管理 的 
所 有 服务 都 需要 重新 启动 来 重新 向 RPC 注册 。 
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NES server 图 13.1-2、NFS 与 
RPC 服务 及 文件 系统 操作 的 相关 性 


如 上 图 所 示 ， 当 客户 端 有 NFS 档案 存 取 需求 时 ， 他 会 如 何 向 服务 器 端 要 求 数据 呢 ? 


1， 窗户 端 会 向 服务 器 端的 RPC (port 111) 发 出 NFS 档案 存 取 功能 的 询问 要 求 ; 
2. 服务 器 端 找到 对 应 的 已 注册 的 NFS daemon 者 口 后 ， 会 回报 给 客户 端 ; 
3. 客户 端 了 解 正 确 的 埠 口 后 ， 就 可 以 直接 与 NFS daemon 来 联机 。 


由 于 NFS 的 各 项 功能 都 必须 要 向 RPC 来 注册 ， 如 此 一 来 RPC 才能 了 解 NFS 这 个 服务 的 各 
项 功能 之 port number, PID, NFS 在 服务 器 所 监听 的 IP 等 等 ， 而 客户 端 才能 够 透 过 RPC 的 询 
问 找 到 正确 对 应 的 堆 口 。 也 就 是 说 ，NFS 必须 要 有 RPC 存在 时 才能 成 功 的 提供 服务 ， 因 此 
我 们 称 NFS 为 RPC server 的 一 种 。 事 实 上 ， 有 很 多 这 样 的 服务 器 都 是 向 RPC 注册 的 ， 举 
例 来 说 ，NIS (Network Information Service) 也 是 RPC server 的 一 种 呢 。 此 外 ， 由 图 13.1-2 
你 也 会 知道 ， 不 论 是 客户 端 还 是 服务 器 端 ， 要 使 用 NFS 时 ， 两 者 都 需要 启动 RPC 才 行 喔 ! 


更 多 的 NFS 相关 协议 信息 你 可 以 参考 底下 网 页 : 


。 RFC 1094, NFS 协议 解释 http://www.faqs.org/rfcs/rfc1094.html 
。 Linux NFS-HOWTO : http://www.tldp.org/HOWTO/NFS-HOWTO/index.html 


13.1.3 NFS 启动 的 RPC daemons 


我 们 现在 知道 NFS 服务 器 在 启动 的 时 候 就 得 要 向 RPC 注册 ， 所 以 NFS 服务 器 也 被 称 为 
RPC server 之 一 。 那 么 NFS 服务 器 主要 的 任务 是 进行 文件 系统 的 分 享 ， 文 件 系 统 的 分 享 则 
与 权限 有 关 。 所 以 NFS 服务 器 启动 时 至 少 需 要 两 个 daemons ， 一 个 管理 客户 端 是 否 能 够 登 
入 的 问题 ， 一 个 管理 客户 端 能 够 取得 的 权限 。 如 果 你 还 想 要 管理 quota 的 话 ， 那 么 NFS 还 得 
要 再 加 载 其 他 的 RPC 程序 就 是 了 。 我 们 以 较 单 纯 的 NFS 服务 器 来 说 : 


。 rpc.nfsd : 最 主要 的 NFS 服务 器 服务 提供 商 。 这 个 daemon 主要 的 功能 就 是 在 管理 客户 
端 是 否 能 够 使 用 服务 器 文件 系统 挂 载 信息 等 ， 其 中 还 包含 这 个 登入 者 的 ID 的 判别 喔 ! 

e。 rpc.mountd 这 个 daemon 主要 的 功能 ， 则 是 在 管理 NFS 的 文件 系统 哩 | 当 客 户 端 顺利 
的 通过 rpc.nfsd 而 登入 服务 器 之 后 ， 在 他 可 以 使 用 NFS 服务 器 提供 的 档案 之 前 ， 还 会 经 
过 档案 权限 (就 是 那个 -rwxrwxrwx 与 owner, group 那 几 个 权限 啦 ) 的 认证 程序 ! 他 会 去 


读 NFS 的 配置 文件 /etc/exports 来 比 对 客户 端的 权限 ， 当 通过 这 一 关 之 后 客户 端 就 可 以 
取得 使 用 NFS 档案 的 权限 啦 | ( 注 : 这 个 也 是 我 们 用 来 管理 NFS 分 享 之 目录 的 权限 与 安 
全 设 定 的 地 方 哩 | ) 


。 rpc.lockd ( 非 必 要 ) 这 个 玩意 儿 可 以 用 在 管理 档案 的 锁定 (lock) 用 途 。 为 何 档案 需要 『 锁 
定 」 呢 ? 因为 既然 分 享 的 NFS 档案 可 以 让 客户 端 使 用 ， 那么 当 多 个 客户 端 同 时 尝试 写 入 
某 个 档案 时 ， 就 可 能 对 于 该 档案 造成 一 些 问题 啦 ! 这 个 rpc.lockd 则 可 以 用 来 克服 这 个 问 
题 。 但 rpc.lockd 必须 要 同时 在 客户 端 与 服务 器 端 都 开启 才 行 嘿 ! 此 外 ，rpc.lockd 也 常 
与 rpc.statd 同时 启用 。 


。 rpc.statd ( 非 必 要 ) 可 以 用 来 检查 档案 的 一 致 性 ， 与 rpc.lockd 有 关 ! 若 发 生 因 为 客户 端 同 
时 使 用 同一 档案 造成 档案 可 能 有 所 损毁 时 ，rpc.statd 可 以 用 来 检测 并 尝试 回复 该 档案 。 
与 rpc.lockd 同样 的 ， 这 个 功能 必须 要 在 服务 器 端 与 客户 端 都 启动 才 会 生效 。 


上 述 这 几 个 RPC 所 需要 的 程序 ， 其 实 都 已 经 写 入 到 两 个 基本 的 服务 启动 脚本 中 了 ， 那 就 是 
nfs 以 及 nfslock 史 ! 亦 即 是 在 /etc/init.d/nfs, /etc/init.d/nfslock， 与 服务 器 较 有 关 的 写 入 在 
nfs 服务 中 ， 而 与 客户 端的 rpc.lockd 之 类 的 ， 就 设 定 于 nfslock 服务 中 。 


13.1.4 NFS 的 档案 访问 权限 


不 知道 你 有 没有 想 过 这 个 问题 ， 在 图 13.1-1 的 环境 下 ， 假 如 我 在 NFS client 1 上 面 以 dmtsai 
这 个 使 用 者 身份 想 要 去 存 取 /home/data/sharefile/ 这 个 来 自 NFS server 所 提供 的 文件 系统 
时 ， 请 问 NFS server 所 提供 的 文件 系统 会 让 我 以 什么 身份 去 存 取 ? 是 dmtsai 还 是 ? 


为 什么 会 这 么 问 呢 ? 这 是 因为 NFS 本 身 的 服务 并 没有 进行 身份 登入 的 识别 ， 所 以 说 ， 当 你 在 
客户 端 以 dmtsai 的 身份 想 要 存 取 服 务 器 端的 文件 系统 时 ， 服 务 器 端 会 以 客户 端的 使 用 者 UID 
与 GID 等 身份 来 尝试 读 取 服 务 器 端的 文件 系统 。 这 时 有 个 有 趣 的 问题 就 产生 啦 | 那 就 是 如 果 
客户 端 与 服务 器 端的 使 用 者 身份 并 不 一 致 怎么 办 ? 我 们 以 底下 这 个 图 示 来 说 明 一 下 好 了 : 
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3、NFS 的 服务 器 端 与 客户 端的 使 用 者 身份 确认 机 制 


当 我 以 dmtsai 这 个 一 般 身 份 使 用 者 要 去 存 取 来 自 服 务 器 端的 档案 时 ， 你 要 先 注意 到 的 是 : 文 
件 系统 的 inode 所 记录 的 属性 为 UID, GID 而 非 账 号 与 群 组 名 。 那 一 般 Linux 主机 会 主动 的 以 
自己 的 /etc/passwd, /etc/group 来 查询 对 应 的 使 用 者 、 组 名 。 所 以 当 dmtsai 进入 到 该 目录 

后 ， 会 参照 NFS client 1 的 使 用 者 与 组 名 。 但 是 由 于 该 目录 的 档案 主要 来 自 NFS server ， 所 
以 可 能 就 会 发 现 几 个 情况 : 


。 NFS server/NFS client 刚好 有 相同 的 账号 与 群 组 则 此 时 使 用 者 可 以 直接 以 dmtsai 的 身 
份 进 行 服 务 器 所 提供 的 文件 系统 之 存 取 。 


。 NFS server 的 501 这 个 UID 账号 对 应 为 vbird 若 NFS 服务 器 上 的 /etc/passwd 里 面 UID 
501 的 使 用 者 名 称 为 vbird 时 ， 则 客户 端的 dmtsai 可 以 存 取 服 务 器 端的 vbird 这 个 使 用 
者 的 档案 喔 | 只 因为 两 者 具有 相同 的 UID 而 已 。 这 就 造成 很 大 的 问题 了 ! 因为 没有 人 可 
以 保证 客户 端的 UID 所 对 应 的 账号 会 与 服务 器 端 相 同 ， 那 服务 器 所 提供 的 数据 不 就 可 能 
会 被 错误 的 使 用 者 乱 改 ? 


。 NFS server 并 没有 501 这 个 UID 另 一 个 极端 的 情况 是 ， 在 服务 器 端 并 没有 501 这 个 
UID 的 存在 ， 则 此 时 dmtsai 的 身份 在 该 目录 下 会 被 压缩 成 匿名 者 ， 一 般 NFS 的 匿名 者 
会 以 UID 为 65534 为 其 使 用 者 ， 早 期 的 Linux distributions 这 个 65534 的 账号 名 称 通常 
是 nobody ， 我 们 的 CentOS 则 取 名 为 nfsnobody 。 但 有 时 也 会 有 特殊 的 情况 ， 例 如 在 

及 务 器 端 分 享 /tmp 的 情况 下 ， dmtsain 的 身份 还 是 会 保持 501 但 建立 的 各 项 数据 在 服务 

器 端 来 看 ， 就 会 属于 无 拥有 者 的 资料 。 


Dm 


e。 如 果 使 用 者 身份 是 root 时 有 个 比较 特殊 的 使 用 者 ， 那 就 是 每 个 Linux 主机 都 有 的 UID 为 
0 的 root 。 想 一 想 ， 如 果 客 户 端 可 以 用 root 的 身份 去 存 取 服务 器 端的 文件 系统 时 ， 那 服 
务 器 端的 数据 哪 有 什么 保护 性 ? 所 以 在 预 设 的 情况 下 ，root 的 身份 会 被 主动 的 压缩 成 为 
匿名 者 。 


总 之 ， 客 户 端 使 用 者 能 做 的 事情 是 与 UID 及 其 GID 有 关 的 ， 那 当 客 户 端 与 服务 器 端的 UID 及 
账号 的 对 应 不 一 致 时 ， 可 能 就 会 造成 文件 系统 使 用 上 的 困扰 ， 这 个 就 是 NFS 文件 系统 在 使 用 
上 面 的 一 个 很 重要 的 地 方 ! 而 在 了 解 使 用 者 账号 与 UID 及 文件 系统 的 关系 之 后 ， 要 实际 在 客 
户 端 以 NFS 取 用 服务 器 端的 文件 系统 时 ， 你 还 得 需要 具有 : 


。 NFS 服务 器 有 开放 可 写 入 的 权限 (与 /etc/exports 设 定 有 关 ) ; 
。 实际 的 档案 权限 具有 可 写 入 (w) 的 权限 。 


当 你 满足 了 (1) 使 用 者 账号 ， 亦 即 UID 的 相关 身份 ; (2)NFS 服务 器 允许 有 写 入 的 权限 ; (3) 
文件 系统 确实 具有 W 的 权限 时 ， 你 才 具 有 该 档案 的 可 写 入 权限 喔 1 尤其 是 身份 (UID) 确认 的 
环节 部 分 ， 最 容易 搞 错 啦 ! 也 因为 如 此 ， 所 以 NFS 通常 需要 与 NIS (十 四 章 ) 这 一 个 可 以 确 
认 容 户 端 与 服务 器 端 身份 一 致 的 服务 搭配 使 用 ， 以 避免 身份 的 错乱 啊 | ^ 人 和 ^ 

Tips: 老实 说 ， 这 个 小 节 的 数据 比较 难 懂 一 尤其 是 刚刚 接触 到 NFS server 的 朋友 。 因 此 ， 你 
可 以 先 略 过 13.1.4 这 个 小 节 。 但 是 ， 在 你 读 完 与 做 完 本 章 后 续 所 有 的 实 作 之 后 ， 记 得 回 到 这 
个 小 节 来 再 查阅 一 次 文章 内 容 ， 相 信 会 有 进一步 的 认识 的 |! 
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13.2 NFS Server 端的 设 定 


既然 要 使 用 NFS 的 话 ， 就 得 要 安装 NFS 所 需要 的 软件 了 | 底下 让 我 们 查询 一 下 系统 有 无 安 
装 所 需要 的 软件 ，NFS 软件 的 架构 以 及 如 何 设 定 NFS 服务 器 吧 | ^ ^ 


13.2.1 所 需要 的 软件 
以 CentOS 6.x 为 例 的 话 ， 要 设 定好 NFS 服务 器 我 们 必须 要 有 两 个 软件 才 行 ， 分 别 是 : 
e。 RPC 主 程序 : rpcbind 


就 如 同 刚刚 提 的 到 ， 我 们 的 NFS 其 实 可 以 被 视 为 一 个 RPC 服务 ， 而 要 启动 任何 一 个 
RPC 服务 之 前 ， 我 们 都 需要 做 好 port 的 对 应 (mapping) 的 工作 才 行 ， 这 个 工作 其 实 就 是 

『 rpcbind 4 这 个 服务 所 负责 的 ! 也 就 是 说 ， 在 启动 任何 一 个 RPC 服务 之 前 ， 我 们 都 需 
要 启动 rpcbind 才 行 ! (在 CentOS 5.x 以 前 这 个 软件 称 为 portmap， 在 CentOS 6.x 之 后 
才 称 为 rpcbind 的 1) 


。 NFS 主 程序 : nfs-utils 
就 是 提供 rpc.nfsd 及 rpc.mountd 这 两 个 NFS daemons 与 其 他 相关 documents 与 说 明 


文件 、 执 行文 件 等 的 软件 ! 这 个 就 是 NFS 服务 所 需要 的 主要 软件 啦 | 一定 要 有 喔 ! 


好 了 ， 知 道 我 们 需要 这 两 个 软件 之 后 ， 现 在 干 嘛 ? 赶快 去 你 的 系统 先 用 RPM 看 一 下 有 没有 这 
两 个 软件 啦 | 没有 的 话 赶快 用 RPM 或 yum 去 安装 喔 ! 不 然 就 玩 不 下 去 了 ! 


例题 : 请 问 我 的 主机 是 以 RPM 为 套件 管理 的 Linux distribution ， 例 如 Red Hat, CentOS 与 
SuSE 等 版 本 ， 那 么 我 要 如 何 知道 我 的 主机 里 面 是 否 已 经 安装 了 rpcbind 与 nfs 相关 的 软件 
呢 ? 答 :简单 的 使 用 『 rpm -qa|grepnfs J 与 了 rpm -qa|greprpcbind 」 即 可 知道 啦 | 如 果 
没有 安装 的 话 ， 在 CentOS 内 可 以 使 用 『 yum install nfs-utils J 来 安装 ! 


13.2.2 NFS 的 软件 结构 


NFS 这 个 吃 吹 丨 的 是 很 简单 ， 上 面 我 们 提 到 的 NFS 软件 中 ， 配 置 文件 只 有 一 个 ， 执 行 档 也 不 
多 ， 记 录 文 件 也 三 三 两 两 而 已 响 ! 赶紧 先 来 看 一 看 吧 ! ^ ^ 


。 主要 配置 文件 : /etc/exports 这 个 档案 就 是 NFS 的 主要 配置 文件 了 ! 不 过 ， 系 统 并 没有 
默认 值 ， 所 以 这 个 档案 『 不 一 定 会 存在 I， 你 可 能 必须 要 使 用 vim 主动 的 建立 起 这 个 档 
案 别 ! 我 们 等 一 下 要 谈 的 设 定 也 仅 只 是 这 个 档案 而 已 呐 ! 


。 NFS 文件 系统 维护 指令 : /usr/sbin/exportfs 这 个 是 维护 NFS 分 享 资 源 的 指令 ， 我 们 可 以 
利用 这 个 指令 重新 分 享 /etc/exports 变更 的 目录 资源 、 将 NFS Server 分 享 的 目录 印 除 或 
重新 分 享 等 等 ， 这 个 指令 是 NFS 系统 里 面相 当 重 要 的 一 个 喔 ! 至 于 指令 的 用 法 我 们 在 底 


下 会 介绍 。 
@ 分 享 资 源 的 登录 档 : /var/lib/nfs/*tab 在 NFS 服务 器 的 登录 文件 都 放置 到 /var/lib/nfs/ 目录 
里 面 ， 在 该 目录 下 有 两 个 比较 重要 的 登录 档 ， 一 个 是 etab ， 主 要 记录 了 NFS 所 分 享 出 
来 的 目录 的 完整 权限 设 定 值 ; 另 一 个 xtab 则 记录 曾经 链接 到 此 NFS 服务 器 的 相关 客户 

端 数 据 。 
e@ 客户 端 查询 服务 器 分 享 资 源 的 指令 : /usrsbin/showmount 这 是 另 一 个 重要 的 NFS 指 


分 
令 。exportfs 是 用 在 NFS Server 端 ， 而 showmount 则 主要 用 在 Client 端 ? 这 个 
showmount 可 以 用 来 察看 NFS 分 享 出 来 的 目录 资源 弓 ! 


就 说 不 难 吧 ! 主要 就 是 这 几 个 哩 1 


13.2.3 /etc/exports 配置 文件 的 语法 与 参数 


在 开始 NFS 服务 器 的 设 定之 前 ， 你 必须 要 了 解 的 是 ，NFS 会 直接 使 用 到 核心 功能 ， 所 以 你 的 
核心 必须 要 有 支持 NFS 才 行 。 万 一 如 果 你 的 核心 版 本 小 于 2.2 版 ， 或 者 重新 自行 编译 过 核心 
的 话 ， 那 么 就 得 要 很 注意 啦 ! 因为 你 可 能 会 忘记 选择 NFS 的 核心 支持 啊 ! 


还 好 ， 我 们 CentOS 或 者 是 其 他 版 本 的 Linux ， 预 设 核心 通常 是 支持 NFS 功能 的 ， 所 以 你 只 
要 确认 你 的 核心 版 本 是 目前 新 的 2.6.Xx 版 ， 并 且 使 用 你 的 distribution 所 提供 的 核心 ， 那 应 该 
就 不 会 有 问题 啦 ! 


Tips: 上 面 会 提醒 您 这 个 问题 的 原因 是 ， 以 前 鸟 哥 都 很 喜欢 自行 编译 一 个 特别 的 核心 ， 但 是 菜 
次 编译 核心 时 ， 却 忘记 加 上 了 NFS 的 核心 功能 ， 结 果 NFS server 无 论 如 何 也 搞 不 起 来 全 最 
后 才 想 到 原来 俺 的 核心 是 非 正规 的 ... 


至 于 NFS 服务 器 的 架设 实在 很 简单 ， 你 只 要 编辑 好 主要 配置 文件 /etc/exports 之 后 ， 先 启动 
rpcbind ( 若 已 经 启动 了 ， 就 不 要 重新 启动 )， 然 后 再 启动 nfs ， 你 的 NFS 就 成 功 了 ! 不 过 这 
样 的 设 定 能 否 对 客户 端 生效 ? 那 就 得 要 考虑 你 权限 方面 的 设 定 能 力 了 。 废 话 少 说 ， 我 们 就 直 
接 来 看 看 那个 /etc/exports 应 该 如 何 设 定 吧 | 某 些 distributions 并 不 会 主动 提供 /etc/exports 
档案 ， 所 以 请 你 自行 手动 建立 它 吧 。 


[root@www ~]# vim /etc/exports 


/tmp 192.168.100.0/24(ro) localhost (rw) *,.ev.ncku.edu.tw(ro,sync) 
[分 享 目录 ] ”[ 第 一 部 主机 (权限 )] [可 用 主机 名 ] [可 用 通配符 ] 


你 看 看 ， 这 个 配置 文件 有 够 简单 吧 ! 每 一 行 最 前 面 是 要 分 享 出 来 的 目录 ， 注 意 喔 ! 是 以 目录 
为 单位 啊 ! 然后 这 个 目录 可 以 依照 不 同 的 权限 分 享 给 不 同 的 主机 ， 像 岛 哥 上 面 的 例子 说 明 
是 : 要 将 /tmp 分 别 分 享 给 三 个 不 同 的 主机 或 网 域 的 意思 。 记 得 主机 后 面 以 小 括号 () 设计 权 
限 参 数 ， 若 权限 参数 不 止 一 个 时 ， 则 以 运 号 (,) 分 开 。 且 主机 名 与 小 括号 是 连 在 一 起 的 喔 ! 在 
这 个 档案 内 也 可 以 利用 # 来 批注 呢 。 


至 于 主机 名 的 设 定 主要 有 几 个 方式 : 


e 可 以 使 用 完整 的 IP 或 者 是 网 域 ， 例 如 192.168.100.10 或 192.168.100.0/24 ， 或 
192.168.100.0/255.255.255.0 都 可 以 接受 ! 


e@ 也 可 以 使 用 主机 名 ， 但 这 个 主机 名 必须 要 在 /etc/hosts 内 ， 或 可 使 用 DNS 找到 该 名 称 才 
行 啊 ! 反正 重点 是 可 找到 IP 就 是 了 。 如 果 是 主机 名 的 话 ， 那 么 他 可 以 支持 通配符 ， 例 如 
* 或 ?3 均 可 接受 。 


至 于 权限 方面 (就 是 小 括号 内 的 参数 ) 常见 的 参数 则 有 : 


参数 值 内 容 说 明 
i 该 目录 分 享 的 权限 是 可 擦 写 (read-write) 或 只 读 (read-only)， 但 最 终 
能 不 能 读 写 ， 还 是 与 文件 系统 的 rwX 及 身份 有 关 。 
表 数 据 会 同步 写 与 硬盘 中 ， 则 代表 数据 会 先 暂 
ee sync 代表 数据 会 同步 写 入 到 内 存 与 硬盘 中 ，async 则 代表 数据 会 先 蜀 


存 于 内 存 当 中 ， 而 非 直接 写 入 硬盘 |! 


客户 端 使 用 NFS 文件 系统 的 账号 若 为 root 时 ， 系 统 该 如 何 判断 这 个 
账号 的 身份 ? 预 设 的 情况 下 ， 客 户 端 root 的 身份 会 由 root squash 
的 设 定 压缩 成 nfsnobody， 如 此 对 服务 器 的 系统 会 较 有 保障 。 但 如 果 
你 想 要 开放 客户 端 使 用 root 身份 来 操作 服务 器 的 文件 系统 ， 那 么 这 里 
就 得 要 开 no_root squash 才 行 ! 


不 论 登 入 NFS 的 使 用 者 身份 为 何 ， 他 的 身份 都 会 被 压缩 成 为 匿名 用 


no_root_squash 
root_squash 


SS qasn 户 ， 通 常 也 就 是 nobody(nfsnobody) 啤 ! 

anon 意 指 anonymous (匿名 者 ) 前 面 关 于 * squash 提 到 的 匿名 用 户 
anonuid 的 UID 设 定 值 ， 通 常 为 nobody(nfsnobody)， 但 是 你 可 以 自行 设 定 这 
anongid 个 UID 的 值 ! 当然 ， 这 个 UID 必需 要 存在 于 你 的 /etc/passwd 当 


中 1! anonuid 指 的 是 UID 而 anongid 则 是 群 组 的 GID 哆 。 


这 是 几 个 比较 常见 的 权限 和 参数， 如果 你 有 兴趣 玩 其 他 的 参数 时 ， 请 自行 man exports 可 以 发 
现 很 多 有 趣 的 数据 。 接 下 来 我 们 利用 上 述 的 几 个 参数 来 实际 思考 一 下 几 个 有 趣 的 小 习题 : 


例题 一 : 让 root 保有 root 的 权限 我 想 将 /tmp 分 享 出 去 给 大 家 使 用 ， 由 于 这 个 目录 本 来 就 是 
大 家 都 可 以 读 写 的 ， 因 此 想 让 所 有 的 人 都 可 以 存 取 。 此 外 ， 我 要 让 root 写 入 的 档案 还 是 具有 
root 的 权限 ， 那 如 何 设计 配置 文件 ? 答 : 


[root@www ~]# vim /etc/exports 
# 任何 人 都 可 以 用 我 的 /tmp ， 用 通配符 来 处 理 主机 名 ， 重 点 在 no_root_squash 
/tmp *(rw,no_root_squash) 


主机 名 可 以 使 用 通配符 ， 上 头 表示 无 论 来 自 0 我 的 /tmp 这 个 目录 。 再 次 提醒 ， 

『 (rw,no_root_squash) J 受 定 值 中 间 是 没有 空格 符 的 喔 ! 而 /tmp 与 

(w no_root squash) 则 是 有 空格 符 来 隔 开 的 ! 特别 es no_root squash 的 功能 ! 在 
这 个 例子 中 ， 如 果 你 是 客户 端 ， 0 是 以 root 的 身份 登入 你 的 Linux 主机 ， 那 么 当 你 

mount 上 我 这 部 主机 的 /tmp 之 后 ， 你 在 该 mount 的 目录 当中 ， 将 具有 『root 的 权限 |! J 


例题 二 : 同一 目录 针对 不 同 范 围 开 放 不 同 权 限 我 要 将 一 个 公共 的 目录 /home/public 公开 出 
去 ， 但 是 只 有 限定 我 的 局 域 网 络 192.168.100.0/24 这 个 网 域 且 加 入 vbirdgroup (第 一 章 的 例 
题 建立 的 群 组 ) 的 用 户 才 能 够 读 写 ， 其 他 来 源 则 只 能 读 取 。 答 : 


[root@www ~]# mkdir /home/public 
[root@www ~]# setfacl -m g:vbirdgroup:rwx /home/public 
[root@www ~]# vim /etc/exports 
/tmp *(rw,no_root_squash) 
人 192.168.100.0/24(rw) *(ro) 
继续 累加 在 后 面 ， 注 意 ， 我 有 将 主机 与 网 域 分 为 两 段 (用 空白 隔 开 ) 哩 ! 


上 面 的 例子 说 的 是 ， 当 我 的 IP 是 在 192.168.100.0/24 这 个 网 段 的 时 候 ， 那 么 当 我 在 Client 端 
挂 载 了 Server 端的 /home/public 后 ， 人 目录 我 就 具有 可 以 读 写 的 权限 ~ 
至 于 如 果 我 不 是 在 这 个 网 段 之 内 ， 那 么 这 个 目录 的 数据 我 就 仅 能 读 取 而 已 ， 亦 即 为 只 读 的 属 
性 啦 1 


需要 注意 的 是 ， 通 配 符 仅 能 用 在 主机 名 的 分 辨 上 面 ，IP 或 网 段 就 只 能 用 192.168.100.0/24 的 
状况 ， 不 可 以 使 用 192.168.100.* 喔 ! 


例题 三 : 仅 给 某 个 单一 主机 使 用 的 目录 设 定 我 要 将 一 个 私人 的 目录 /homeytest 开放 给 
192.168.100.10 这 个 Client 端的 机 器 来 使 用 时 ， 该 如 何 设 定 ?9 假设 使 用 者 的 身份 是 dmtsali 
才 具 有 完整 的 权限 时 。 答 : 


[root@www ~]# mkdir /home/test 

[root@www ~]# setfacl -m u:dmtsai:rwx /home/test 
[root@www ~]# vim /etc/exports 

/tmp *(rw,no_root_squash) 

/home/public 192.168.100.0/24(rw) *(ro) 
/home/test 192.168.100.10(rw) 

# 只 要 设 定 IP 正确 即 可 |! 


这 样 就 设 定 完 成 了 ! 而且， 只 有 192.168.100.10 这 部 机 器 才能 对 /home/test 这 个 目录 进行 存 
取 喔 | 
例题 四 : 开放 匿名 登录 的 情况 我 要 让 *.centos.vbird 网 域 的 主机 ， 登 入 我 的 NFS = ， 可 


以 存 取 /homey/linux ， 但 是 他 们 存 数据 的 时 候 ， 我 希望 他 们 的 UID 与 GID 都 变 成 45 这 个 身份 
的 使 用 者 ， 假 设 我 NFS 服务 器 上 的 UID 45 与 GID 45 的 用 户 /组 名 为 nfsanon。 答 


[root@www ~]# groupadd -g 45 nfsanon 

[root@www ~]# useradd -u 45 -g nfsanon nfsanon 

[root@www ~]# mkdir /home/linux 

[root@www ~]# setfacl -m u:nfsanon:rwx /home/linux 

[root@www ~]# vim /etc/exports 

/tmp *(rw,no_root_squash) 

/home/public 192.168.100.0/24(rw) *(ro) 

/home/test 192.168.100.10(rw) 

/home/linux *.centos.vbird(rw,all_ squash,anonuid=45,anongid=45) 
# 如 果 要 开放 匿名 ， 那 么 重点 是 all_squash， 并 且 要 配合 anonuid 喔 ! 





特别 注意 到 那个 all_squash 与 anonuid, anongid 的 功能 ! 如 此 一 来 ， 当 
clientlinux.centos.vbird 登入 这 部 NFS 主机 ， 并 且 在 /homellinux 写 入 档案 时 ， 该 档案 的 所 有 
人 与 所 有 和 群 组 ， 就 会 变 成 /etc/passwd 里 面 对 应 的 UID 为 45 的 那个 身份 的 使 用 者 了 ! 


上 面 四 个 案例 的 权限 如 果 依 照 13.1.4 存 取 设 定 权限 来 思考 的 话 ， 那 么 权限 会 是 什么 情况 呢 ? 
让 我 们 来 检查 一 下 : 


。 客户 端 与 服务 器 端 具有 相同 的 UID 与 账号 : 


假设 我 在 192.168.100.10 登入 这 部 NFS (IP 假设 为 192.168.100.254) 服 3 ee 
192.168.100.10 的 账号 为 dmtsali ， 同 时 ， 在 这 部 NFS 上 面 也 有 dmtsai 这 个 账号 ， 
并 具有 相同 的 UID ， 果 申 如 此 的 话 ， 那 么 


1.， 由 于 192.168.100.254 这 部 NFS 服务 器 的 /tmp 权限 为 -rwxrwxrwt ， 所 以 我 (dmtsai 在 
192.168.100.10 上 面 ) 在 /tmp 底下 具有 存 取 的 权限 ， 并 且 写 入 的 档案 所 有 人 为 dmtsai ; 

2. 在 /home/public 当中 ， 由 于 我 有 读 写 的 权限 ， 所 以 如 果 在 /home/public 这 个 目录 的 权限 
对 于 dmtsai 有 开放 写 入 的 话 ， 那 么 我 就 可 以 读 写 ， 并 且 我 写 入 的 档案 所 有 人 是 dmtsali 
。 但 是 万 一 /home/public 对 于 dmtsai 这 个 使 用 者 并 没有 开放 可 以 写 入 的 权限 时 ， 那 么 
我 还 是 没有 办 法 写 入 档案 喔 ! 这 点 请 特别 留意 ! 

3. 在 /homeytest 当中 ， 我 的 权限 与 /home/public 相同 的 状态 ! 还 需要 NFS 服务 器 的 
/homeytest 对 于 dmtsai 有 开放 权限 ; 

4. 在 /homey/linux 当 中 就 比较 麻烦 ! 因为 不 论 你 是 何 种 User ， 你 的 身份 一 定 会 被 变 成 
UID=45 这 个 账号 ! 所 以 ， 这 个 目录 就 必需 要 针对 UID = 45 的 那个 账号 名 称 ， 修 改 他 的 
权限 才 行 ! 


5. 客户 端 与 服务 器 端的 账号 并 未 相同 时 : 


假如 我 在 192.168.100.10 的 身份 为 vbird (uid 为 600)， 但 是 192.168.100.254 这 部 NFS 主 
机 却 没 有 uid=600 的 账号 时 ， 情 况 会 变 成 怎样 呢 ? 


.我 在 /tmp 底下 还 是 可 以 写 入 ， 只 是 该 档案 的 权限 会 保持 为 UID=600 ， 因 此 服务 器 端 看 
起 来 就 会 怪 怪 的 ， 因 为 找 不 到 UID=600 这 个 账号 的 显示 ， 故 档案 拥有 者 会 境 上 600 
哆 1 

2， 我 在 /home/public 里 面 是 否 可 以 写 入 ， 还 需要 视 /home/public 的 权限 而 定 ， 不 过 ， 由 于 
没有 加 上 all_squash 的 参数 ， 因 此 在 该 目录 下 会 保留 客户 端的 使 用 者 UID， 同 上 一 点 所 


示 。 


3. /homey/test 的 观点 与 /home/public 相同 ! 
4. /homellinux 底下 ， 我 的 身份 就 被 变 成 UID = 45 那个 使 用 者 就 是 了 |! 


5， 当 客户 端的 身份 为 root 时 : 


假如 我 在 192.168.100.10 的 身份 为 root 呢 ?root 这 个 账号 每 个 系统 都 会 有 呀 ! 权限 变 成 怎 
样 呢 ? 


1， 我 在 /tmp 里 面 可 以 写 入 ， 并 且 由 于 no_root squash 的 参数 ， 改 变 了 预 设 的 
root squash 设 定 值 ， 所 以 在 /tmp 写 入 的 档案 所 有 人 为 root 喔 ! 

2.， 我 在 /home/public 底下 的 身份 还 是 被 压缩 成 为 nobody 了 ! 因为 默认 属性 里 面 都 具有 
root squash 呢 ! 所 以 ， 如 果 /home/public 有 针对 nobody 开放 写 入 权限 时 ， 那 么 我 就 可 
以 写 入 ， 但 是 档案 所 有 人 变 成 nobody 就 是 了 | 

3. /homeltest 与 /home/public 相同 ; 

4. /homellinux 的 情况 中 ， 我 root 的 身份 也 被 压缩 成 为 UID = 45 的 那个 使 用 者 了 ! 


这 样 的 权限 讲解 之 后 ， 你 可 以 了 解 了 吗 9 这 里 是 最 重要 的 地 方 ， 如 果 这 一 关 通过 了 ， 底 下 的 
噬 噬 就 没有 问题 叭 ! 和 ^^1 在 你 将 本 文 读 完 后 ， 最 好 还 是 回 到 13.1.4 NFS 的 档案 访问 权限 好 
好 的 瞧 一 瞧 ， 才 能 解决 NFS 的 问题 喔 ! 


13.2.4 后 动 NFS 


配置 文件 搞定 后 ， 当 然 要 开始 来 启动 才 行 啊 ! 而 前 面 我 们 也 提 到 过 ，NFS 的 启动 还 需要 
rpcbind 的 协助 才 行 啊 ! 所 以 赶紧 来 启动 吧 ! 


[root@www ~]# /etc/init.d/rpcbind start 
# 如 果 rpcbind 本 来 就 已 经 在 执行 了 ， 那 就 不 需要 局 动 啊 | 


[root@www ~]# /etc/init.d/nfs start 
# 有 时 候 某 些 distributions 可 能 会 出 现 如 下 的 警告 讯息 : 
exportfs: /etc/exports [3]: No 'sync' or "async' option specified 
for export "192.168.100.10:/home/test". 
Assuming default behaviour ('sync'). 
# 上 面 的 警告 讯息 仅 是 在 告知 因为 我 们 没有 指定 Sync 或 async 的 参数 ， 
# 则 NFS 将 默认 会 使 用 Sync 的 信息 而 已 。 你 可 以 不 理 他 ， 也 可 以 加 入 /etc/exports。 


[root@www ~]# /etc/init.d/nfslock start 
[root@www ~]# chkconfig rpcbind on 
[root@www ~]# chkconfig nfs on 
[root@www ~]# chkconfig nfslock on 


那个 rpcbind 根本 就 不 需要 设 定 | 只 要 直接 启动 它 就 可 以 啦 | 启动 之 后 ， 会 出 现 一 个 port 111 
的 Sunrpc 的 服务 ， 那 就 是 rpcbind 啦 |! 至 于 nfs 则 会 启动 至 少 两 个 以 上 的 daemon 出 现 ! 然 
后 就 开始 在 监听 Client 端的 需求 啦 ! 你 必须 要 很 注意 屏幕 上 面 的 输出 信息 ， 因 为 如 果 配 置 文 
件 写 错 的 话 ， 屏 幕 上 会 显示 出 错误 的 地 方 喔 |! 


此 外 ， 如 果 你 想 要 增加 一 些 NFS 服务 器 的 数据 一 致 性 功能 时 ， 可 能 需要 用 到 rpc.lockd 及 
rpc.statd 等 RPC 服务 ， 那 么 或 许 你 可 以 增加 一 个 服务 ， 那 就 是 nfslock 鹃 ! 启动 之 后 ， 请 赶 
快 到 /var/log/messages 里 面 看 看 有 没有 被 正确 的 启动 呢 ? 


[root@www ~]# tail /var/log/messages 

JUL 27 17:10:39 www kernel: Installing knfsd (copyright (C) 1996 okir@monad.swb.de). 
JUL 27 17:10:54 www kernel: NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state 
recovery directory 

JUL 27 17:10:54 www kernel: NFSD: starting 90-second grace period 

JuUL 27 17:11:32 www rpc.statd[3689]: Version 1.2.2 starting 


在 确认 启动 没有 问题 之 后 ， 接 下 来 我 们 来 瞧 一 瞧 那 么 NFS 到 底 开 了 哪些 堆 口 ? 


[root@www ~]# netstat -tulnp&#124; grep -E '(rpc&#124;nfs)' 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 0 0.0.0.0:875 0.0.0.0:* LISTEN 3631/rpc.rquotad 
tcp 0 © 0.0.0.0:111 0.0.0.0:* LISTEN 3601/rpcbind 
tcp 0 0 0.0.0.0:48470 0.0.0.0:* LISTEN 3647/rpc.mountd 
tcp 0 0 0.0.0.0:59967 0.0.0.0:* LISTEN 3689/rpc.statd 
tcp 0 © 0.0.0.0:2049 0.0.0.0:* LISTEN - 

udp 0 0 0.0.0.0:875 0.0.0.0:* 3631/rpc.rquotad 
udp 0 00.0.0.0:111 0.0.0.0:* 3601/rpcbind 

udp 0 0 0.0.0.0:897 ONONOP ON 3689/rpc.statd 
udp 0 0 0.0.0.0:46611 0.0.0.0:* 3647/rpc.mountd 
udp 0 0 0.0.0.0:808 0.0.0.0:* 3601/rpcbind 

udp 0 © 0.0.0.0:46011 0.0.0.0:* 3689/rpc.statd 


注意 看 到 上 面 喔 ! 总 共产 生 了 好 多 的 port 喔 ! 丨 是 可 怕 ! 不 过 主要 的 起 口 是 : 


e rpcbind 启动 的 port 在 111， 同 时 启动 在 UDP 与 TCP ; 
。 nfs 本 身 的 服务 启动 在 port 2049 上 头 ! 
e 其 他 rpc.* 服务 启动 的 port 则 是 随机 产生 的 ， 因 此 需 向 port 111 注册 。 


好 了 ， 那 我 怎么 知道 每 个 RPC 服务 的 注册 状况 ?没关系 ， 你 可 以 使 用 rpcinfo 来 观察 的 。 


[root@www ~]# rpcinfo -p [IP&#124;hostname] 

[root@www ~]# rpcinfo -t&#124;-u IP&#124;hostname 程序 名 称 
选项 与 参数 : 

-p :针对 某 IP (未 写 则 预 设 为 本 机 ) 显示 出 所 有 的 port 与 porgram 的 信息 ; 
-t : 针对 某 主机 的 某 支 程序 检查 其 TCP 封包 所 在 的 软件 版 本 ; 

-U : 针对 某 主 机 的 某 支 程序 检查 其 UDP 封包 所 在 的 软件 版 本 ; 


# 1\， 显示 出 目前 这 部 主机 的 RPC 状态 
[root@www ~]# rpcinfo -p localhost 
program vers proto port service 


100000 4 tcp 111 portmapper 
100000 3 tcp 111 portmapper 
100000 2 tcp 111 portmapper 
100000 4 udp 111 portmapper 
100000 3 udp 111 portmapper 
100000 2 udp 111 portmapper 
100011 lb udp 875 rquotad 
100011 2 udp 875 rquotad 
100011 1 tcp 875 rquotad 
100011 2 tcp 875 rquotad 
100003 2 tcp 2049 nfs 
(底下 省略 )、， 


# 程序 代号 NFS 版 本 封包 类 型 夫 口 服务 名 称 


# 2\， 针 对 nfs 这 个 程序 检查 其 相关 的 软件 版 本 信息 ( 仅 察看 TCP 封包 ) 
[root@www ~]# rpcinfo -t localhost nfs 

program 100003 version 2 ready and waiting 

program 100003 version 3 ready and waiting 

program 100003 version 4 ready and waiting 

# 可 发 现 提供 nfs 的 版 本 共有 三 种 ， 分 别 是 2，3，4 版 吻 ! 


仔细 瞧 瞧 ， 上 面 出 现 的 信息 当中 除了 程序 名 称 与 埠 口 的 对 应 可 以 与 netstat -tlunp 输出 的 结果 
作 比 对 之 外 ， 还 需要 注意 到 NFS 的 版 本 支持 ! 新 的 NFS 版 本 传输 速度 较 快 ， 由 上 表 看 起 
来 ， 我 们 的 NFS 至 少 支持 到 第 4 版， 应 该 还 算 合理 啦 | ^ 和 人 ! 如果 你 的 rpcinfo 无 法 输出 ， 
那 就 表示 注册 的 数据 有 问题 啦 ! 可 能 需要 重新 启动 rpcbind 与 nfs 喔 ! 


13.2.5 NFS 的 联机 观察 


pp 


在 你 的 NFS 服务 器 设 定 受 当 之 后 ， 我 们 可 以 在 server 端 先 自 我 测试 一 下 是 否 可 以 联机 喔 1 就 
是 利用 showmount 这 个 指令 来 查阅 ! 


[root@www ~]# showmount [-ae] [hostname&#124;IP] 
选项 与 参数 : 

-a :显示 目前 主机 与 客户 端的 NFS 联机 分 享 的 状态 ; 

-e :显示 茶 部 主机 的 /etc/exports 所 分 享 的 目录 数据 。 


# 1\， 请 显示 出 刚刚 我 们 所 设 定好 的 相关 exports 分 享 目 录 信息 
[root@www ~]# showmount -e localhost 

Export list for localhost: 

/tmp . 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone) 


很 简单 吧 ! 所 以 ， 当 你 要 扫 瞄 某 一 部 主机 他 提供 的 NFS 分 享 的 目录 时 ， 就 使 用 showmount - 
e IP (或 hostname) 即 可 ! 非常 的 方便 吧 ! 这 也 是 NFS client 端 最 常用 的 指令 喔 ! 另外 ， 
NFS 关于 目录 权限 设 定 的 数据 非常 之 多 【在 /etc/exports 只 是 比较 特别 的 权限 参数 而 已 ， 还 
有 很 多 预 设 参数 呢 ! 这 些 预 设 参数 在 哪 ? 我 们 可 以 检查 一 下 /var/lib/nfs/etab 就 知道 了 ! 


[root@www ~]# tail /var/lib/nfs/etab 

/home/public 192.168.100.0/24(rw, sync,wdelay,hide,nocrossmnt, secure,root_squash, 
no_all_squash,no_subtree_check, secure_locks,ac]l,anonuid=65534,anongid=65534) 

# 上 面 是 同一 行 ， 可 以 看 出 除了 rw，sync，root_squash 等 等 ， 

# 其 实 还 有 anonuid 及 anongid 等 等 的 设 定 ! 


上 面 仅 仅 是 一 个 小 范例 ， 透 过 分 析 anonuid=65534 对 比 /etc/passwd 后 ， 会 发 现 CentOS 出 
现 的 是 nfsnobody 啦 ! 这 个 账号 在 不 同 的 版 本 都 可 能 会 不 一 样 的 ! 另外， 如果 有 其 他 客户 端 
挂 载 了 你 的 NFS 文件 系统 时 ， 那 么 该 客户 端 与 文件 系统 信息 就 会 被 记录 到 /varlib/nfs/xtab 里 
头 去 的 ! 


另外 ， 如 果 你 想 要 重新 处 理 /etc/exports 档案 ， 当 重新 设 定 完 /etc/exports 后 需 不 需要 重新 局 
动 nfs ? 不 需要 啦 | 如 果 重 新 启动 nfs 的 话 ， 要 得 再 向 RPC 注册 ! 很 麻烦 一 这 个 时 候 我 们 可 
以 透 过 exportfs 这 个 指令 来 帮忙 弓 ! 


[root@www ~]# exportfs [-aruv] 

选项 与 参数 : 

-a :全 部 挂 载 ( 或 印 除 ) /etc/exports 档案 内 的 设 定 

-r :重新 挂 载 /etc/exports 里 面 的 设 定 ， 此 外 ， 亦 同步 更 新 /etc/exports 
及 /var/1ib/nfs/xtab 的 内 容 ! 

-U : 印 除 某 一 目录 

-V :在 export 的 时 候 ， 将 分 享 的 目录 显示 到 屏幕 上 ! 





# 1\， 重 新 挂 载 一 次 /etc/exports 的 设 定 
[root@www ~]# exportfs -arv 

exporting 192.168.100.10:/home/test 
exporting 192.168.100.0/24:/home/public 
exporting *.centos.vbird:/home/linux 
exporting *:/home/public 

exporting *:/tmp 





# 2\， 将 已 经 分 享 的 NFS 目录 资源 ， 通 通 都 印 除 
[root@www ~]# exportfs -auv 
# 这 时 如 果 你 再 使 用 showmount -e localhost 就 会 看 不 到 任何 资源 了 ! 


要 熟悉 一 下 这 个 指令 的 用 法 喔 ! 这 样 一 来 ， 就 可 以 直接 重新 exportfs 我 们 的 记录 在 
/etc/exports 的 目录 数据 哩 ! 但 是 要 特别 留意 ， 如 果 你 仅 有 处 理 配置 文件 ， 但 并 没有 相对 应 的 
目录 (/home/public 等 目录 ) 可 以 提供 使 用 啊 ! 那 可 能 会 出 现 一 些 警告 讯息 喔 ! 所 以 记得 要 建 
立 分 享 的 目录 才 对 | 


13.2.6 NFS 的 安全 性 
在 NFS 的 安全 性 上 面 ， 有 些 地 方 是 你 必须 要 知道 的 喔 ! 底下 我 们 分 别 来 谈 一 谈 : 


e@ 防火 墙 的 设 定 问题 与 解决 方案 : 


一 般 来 说 ，NFS 的 服务 仅 会 对 内 部 网 域 开 放 ， 不 会 对 因特网 开放 的 。 然 而 ， 如 果 你 有 特殊 需 
求 的 话 ， 那 么 也 可 能 会 跨 不 同 网 域 就 是 了 。 但 是 ，NFS 的 防火 墙 特别 难 摘 ， 为 什么 呢 ? 因为 
除了 固定 的 port 111, 2049 之 外 ， 还 有 很 多 不 固定 的 堆 口 是 由 rpc. Wd rpc.rquotad 等 服 
务 所 开启 的 ， 所 以 ， 你 的 iptables 就 很 难 设 定 规则 ! 那 怎 办 ?难道 整个 防火 墙 机 制 都 要 取消 
才 可 以 ? 


为 了 解决 这 个 问题 ，CentOS 6.x 有 提供 一 个 固定 特定 NFS 服务 的 堆 口 配置 文件 ， 那 就 是 
/etc/sysconfig/nfs 啦 ! 你 在 这 个 档案 里 面 就 能 够 指定 特定 的 埠 口 ， 这 样 每 次 启动 nfs 时 ， 相 
关 服 务 启动 的 堆 口 就 会 固定 ， 如 此 一 来 ， 我 们 就 能 够 设 定 正确 的 防火 墙 哆 1 这 个 配置 文件 内 

容 很 多 ， 绝 大 部 分 的 数据 你 都 不 要 去 更 改 ， 只 要 改 跟 PORT 这 个 关键 词 有 关 的 数据 即 可 。 那 
么 需要 更 改 的 rpc 服务 有 哪些 呢 ? 主 要 有 mountd, rquotad, nlockmgr 这 三 个 ， 所 以 你 应 该 要 
这 样 改 : 

[root@www ~]# vim /etc/sysconfig/nfs 

RQUOTAD_PORT=1001 ”&1t;== 约 在 13 行 左右 

LOCKD_TCPPORT=30001 &1t;== 约 在 21 行 左右 

LOCKD_UDPPORT=30001 &1t;== 约 在 23 行 左右 

MOUNTD_PORT=1002 &1t;== 约 在 41 行 左右 

# 记得 设 定 值 最 左边 的 批注 服务 要 拿 掉 之 外 ， 埠 口 的 值 你 也 可 以 自行 决定 。 


[root@www ~]# /etc/init.d/nfs restart 
[root@www ~]# rpcinfo -p &#124; grep -E ' (rdquota&#124;mount&#124;nlLock) 


100011 2 udp 1001 rquotad 
100011 2 tcp 1001 rquotad 
100021 4 udp 30001 nlockmgr 
100021 4 tcp 30001 nlockmgr 
100005 3 a 1002 mountd 
100005 3 1002 mountd 


# 人 久 哥 汇 束 过 了 ， 没 用 到 的 堆 口 先 挪 掉 了 啦 ! 


很 可 怕 吧 ! 如 果 想 要 开放 NFS 给 别 的 网 域 的 朋友 使 用 ， 又 不 想 要 让 对 方 拥 有 其 他 服务 的 登入 
功能 ， 那 你 的 防火 墙 就 得 要 开放 上 述 的 十 个 埠 口 啦 ! 有 够 麻烦 的 一 假设 你 想 要 开放 
120.114.140.0/24 ee ee， 的 NFS 的 资源 ， 且 假设 你 已 经 使 用 第 
九 章 提供 的 防火 墙 肢 本， 那么 得 要 这 样 做 才能 够 针对 该 网 域 放 行 哩 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $EXTIF -p tcp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 
# 总 是 要 重新 执行 这 样 防火 墙 规则 才 会 顺利 的 生效 啊 ! 别 忘 记 1 别 忘记 ! 


e 使 用 /etc/exports 设 定 更 安全 的 权限 : 


这 就 牵涉 到 你 的 逻辑 思考 了 | 怎么 设 定 都 没有 关系 ， 但 是 在 『 便 利 J 与 『 安 全 J 之 间 ， 要 找 
到 你 的 平衡 点 呐 ! 善 用 root squash 及 all_ squash 等 功能 ， 再 利用 anonuid 等 等 的 设 定 来 规 
范 登 入 你 主机 的 用 户 身 份 ! 应 该 还 是 有 办 法 提供 一 个 较为 安全 的 NFS 服务 器 的 ! 


另外 ， 当 然 啦 ， 你 的 NFS 服务 器 的 文件 系统 之 权限 设 定 也 需要 很 留意 | 不 要 随便 设 定 成 为 - 
rwxrwxrwx ， 这 样 会 造成 你 的 系统 下 很 大 的 困扰 4 的 啊 ! 


。 更 安全 的 partition 规划 : 


如 果 你 的 工作 环境 中 ， 具 有 多 部 的 Linux 主机 ， 并 且 预 计 彼 此 分 享 出 目录 时 ， 那 么 在 安装 
Linux 的 时 候 ， 最 好 就 可 以 规划 出 一 块 partition 作为 预 留 之 用 。 因 为 『 NFS 可 以 针对 目录 来 
分 享 」， 因 此 ， 你 可 以 将 预 留 的 partition 挂 载 在 任何 一 个 挂 载 点 ， 再 将 该 挂 载 点 (就 是 目录 
啦 | ) 由 /etc/exports 的 设 定 中 分 享 出 去 ， 那 么 整个 工作 环境 中 的 其 他 Linux 主机 就 可 以 使 用 
该 NFS 服务 器 的 那 块 预 留 的 partition 了 ! 所 以 ， 在 主机 的 规划 上 面 ， 主 要 需要 留意 的 只 有 
partition 而 已 。 此 外 ， 由 于 分 享 的 partition 可 能 较 容 易 被 入 侵 ， 最 好 可 以 针对 该 partition 设 
定 比 较 严 格 的 参数 在 /etc/fstab 当中 喔 ! 


此 外 ， 如 果 你 的 分 割 做 的 不 够 好 ， 举 例 来 说 ， 很 多 人 都 喜欢 使 用 懒 人 分 割 法 ， 亦 即 整个 系统 
中 只 有 一 个 根 目录 的 partition 而 已 。 这 样 做 会 有 什么 问题 呢 ? 假设 你 分 享 的 是 /home 这 个 给 
一 般 用 户 的 目录 好 了 ， 有 些 用 户 觉得 这 个 NFS 的 磁盘 太 好 用 了 ， 结果 使 用 者 就 将 他 的 一 大 堆 
暂 存 数据 通通 塞 进 这 个 NFS 磁盘 中 。 想 一 想 ， 如 果 整 个 根 目录 就 因为 这 个 /home 被 塞 爆 了 ， 
那么 你 的 系统 将 会 造成 无 法 读 写 的 困扰 。 因 此 ， 一 个 良好 的 分 割 规 划 ， 或 者 是 利用 磁盘 配额 
来 限制 还 是 很 重要 的 工作 。 


e。 NFS 服务 器 关机 前 的 注意 事项 : 


需要 注意 的 是 ， 由 于 NFS 使 用 的 这 个 RPC 服务 ， 当 客户 端 连 上 服务 器 时 ， 那 么 你 的 服务 器 
想 要 关机 ， 那 可 就 会 成 为 『 不 可 能 的 任务 」 ! 如 果 你 的 服务 器 上 面 还 有 客户 端 在 联机 ， 那 么 
你 要 关机 ， 可 能 得 要 等 到 数 个 钟头 才能 够 正常 的 关机 成 功 1 嘎 1 费 的 假 的 1 不 相信 吗 ? 不 然 
你 自 个 儿 试 试看 1^A AI! 


所 以 哩 ， 建 议 你 的 NFS Server 想 要 关机 之 前 ， 能 先 『 关 掉 rpcbind 与 nfs 」 这 两 个 东西 | 如 
果 无 法 正确 的 将 这 两 个 daemons 关 掉 ， 那 么 先 以 netstat -utlp 找 出 PID ， 然 后 以 kill 将 他 关 
掉 先 ! 这 样 才 有 办 法 正常 的 关机 成 功 喔 ! 这 个 请 特别 特别 的 注意 呢 ! 


当然 啦 ， 你 也 可 以 利用 showmount -a localhost 来 查 出 来 那个 客户 端 还 在 联机 ? 或 者 是 查阅 
/varlib/nfs/rmtab 或 xtab 等 档案 来 检查 亦 可 。 找 到 这 些 客 户 端 后 ， 可 以 直接 call 他 们 啊 ! 让 
他 们 能 够 帮 帮 忙 先 ! A ^ 


事实 上 ， 客 户 端 以 NFS 联机 到 服务 器 端 时 ， 如 果 他 们 可 以 下 达 一 些 比较 不 那么 『 硬 」 的 挂 载 
参数 时 ， 就 能 够 减少 这 方面 的 问题 嘱 ! 相关 的 安全 性 可 以 参考 下 一 小 节 的 客户 端 可 处 理 的 挂 
载 参 数 与 开机 挂 载 。 


13.3 NFS 客户 端的 设 定 


既然 NFS 服务 器 最 主要 的 工作 就 是 分 享 文件 系统 给 网 络 上 其 他 的 客户 端 ， 所 以 客户 端 当然 得 
要 挂 载 这 个 玩意 儿 史 1 此 外 ， 服 务 器 端 可 以 加 设防 火 墙 来 保护 自己 的 文件 系统 ， 那 么 客户 端 
挂 载 该 文件 系统 后 ， 难 道 不 需要 保护 自己 ? 呵呵 ! 所 以 底下 我 们 要 来 谈 一 谈 几 个 NFS 客户 端 
的 课题 。 


13.3.1 手动 挂 载 NFS 服务 器 分 享 的 资源 
你 要 如 何 挂 载 NFS 服务 器 所 提供 的 文件 系统 呢 ? 基本 上 ， 可 以 这 样 做 : 


1. 确认 本 地 端 已 经 启动 了 rpcbind 服务 ! 

2. 扫 瞄 NFS 服务 器 分 享 的 目录 有 哪些 ， 并 了 解 我 们 是 否 可 以 使 用 (showmount) ; 
3. 在 本 地 端 建立 预计 要 挂 载 的 挂 载 点 目录 (mkdir) ; 

4. 利用 mount 将 远程 主机 直接 挂 载 到 相关 目录 。 


好 ， 现 在 假设 客户 端 在 192.168.100.10 这 部 机 器 上 ， 而 服务 器 是 192.168.100.254 ， 那 么 赶 
紧 来 检查 一 下 我 们 是 否 已 经 有 rpcbind 的 启动 ， 另 外 远程 主机 有 什么 可 用 的 目录 呢 ! 


# 1\， 启 动 必 备 的 服务 : 若 没 有 局 动 才 启动 ， 有 启动 则 保持 原样 不 动 。 
[root@clientlinux ~]# /etc/init.d/rpcbind start 
[root@clientlinux ~]# /etc/init.d/nfslock start 

# 一 般 来 说 ， 系 统 默 认 会 尼 动 rpcbind ， 不 过 鸟 哥 之 前 关闭 过 ， 所 以 要 启动 。 
# 另外 ， 如 果 服 务 器 端 有 启动 nfslock 的 话 ， 客 户 端 也 要 启动 才能 生效 ! 


# 2\， 查 询 服务 器 提供 哪些 资源 给 我 们 使 用 呢 ? 
[root@clientlinux ~]# Showmount -e 192.168.100.254 
Export lJist for 192.168.100.254: 

/tmp > 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone)  &lt;== 这 是 等 一 下 我 们 要 挂 载 的 目录 


a 要 将 远程 主机 的 /home/public 挂 载 到 本 地 端 主 机 的 /home/nfs/public ， 所 以 我 就 
得 要 在 本 地 端 主 机 先 建立 起 这 个 挂 载 点 目录 才 行 啊 |! 然后 就 可 以 用 mount 这 个 指令 直接 挂 载 
NFS 的 文件 系统 嘿 |! 


# 3\， 建立 挂 载 点 ， 并 且 实 际 挂 载 看 看 哆 ! 
[root@clientlinux ~]# mkdir -p /home/nfs/public 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/public 和 
&gt; /home/nfs/public 
: 注意 一 下 挂 载 的 语法 1! 『 -t nfs J 指定 文件 系统 类 型 ， 

IP:/dir 则 是 指定 某 一 部 主机 的 某 个 提供 的 目录 ! 另外， 如 果 出 现 如 下 错误 : 
人 192.168.100.254:/home/public failed, reason given by server: No such file 
or directory 
# 这 代表 你 在 Server 上 面 并 没有 建立 /home/public 啦 ! 自己 在 服务 器 端 建立 他 吧 ! 
# 4\， 总 是 得 要 看 看 挂 载 之 后 的 情况 如 何 ， 可 以 使 用 df 或 mount 啦 1! 
[root@clientlinux ~]# df 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 

2 (中间 省 略 ) 
192.168.100.254:/home/public 

7104640 143104 6607104 3% /home/nfs/public 


NFS 档案 的 格式 范例 虽 ! 呵呵 ! 这 样 就 可 以 将 数据 挂 载 进来 啦 ! 请 注意 吕 ! 
， 只 要 你 进入 你 的 目录 Pom mp us 就 等 于 到 了 192.168.100.254 那 部 远程 主机 的 

ne 那个 目录 中 史 ! 很 不 错 吧 ! 至 于 你 在 该 目录 下 有 什么 权限 ? 那 就 请 你 回去 前 一 

小 节 查 一 查 权 限 的 思考 吧 ! 和 ^ ! 那 么 如 何 将 挂 载 的 NFS 目录 务 除 呢 ? 就 使 用 umount 啊 ! 


[root@clientlinux ~]# umount /home/nfs/public 


13.3.2 客户 端 可 处 理 的 挂 载 参 数 与 开机 挂 载 


瞧 | 客户 端的 挂 载 工 作 很 简单 吧 ! 不 过 不 晓得 你 有 没有 想 过 ， 如 果 你 刚刚 挂 载 到 本 机 
/home/nfs/public 的 文件 系统 当中 ， 含 有 一 支 Script ， 且 这 支 Script 的 内 容 为 『 rm -rf/ J 了 且 该 
档案 权限 为 555 ， 和 天寿 一 如 果 你 因为 好 奇 给 他 执行 下 去 ， 可 有 的 你 受 的 了 一 因为 整个 系统 都 
会 被 杀 光 光 ! 芙 可 怜 ! 


所 以 说 ， 除 了 NFS 服务 器 需要 保护 之 外 ， 我 们 取 用 人 家 的 NFS 文件 系统 也 需要 自我 保护 才 
行 啊 ! 那 要 如 何 自我 保护 啊 ? 可 以 透 过 mount 的 指令 参数 喔 ! 包括 底下 这 些 主要 的 参数 可 以 
尝试 加 入 : 


系统 默 


参数 数 代 表意 义 认 值 

晓得 啥 是 SUID 吧 ? 如 果 挂 载 的 partition 上 面 有 任何 SUID 的 

suid binary 程序 时 ， 你 只 要 使 用 nosuid 就 能 够 取消 SUID 的 功能 了 |! Ee 

nosuid ” 嘎 ? 不 知道 什么 是 SUID ? 那 就 不 要 学 人 家 架 站 嘛 1@ @! 赶紧 
回去 基础 学 习 篇 第 三 版 复习 一 下 第 十 七 章 、 程 序 与 资源 管理 啦 ! 

iw ro ”你 可 以 指定 该 文件 系统 是 只 读 (ro) 或 可 按 写 喔 | 服务 器 可 以 提供 给 。 
你 可 擦 写 ， 但 是 客户 端 可 以 仅 允许 只 读 的 参数 设 定 值 ! 

dev 是 否 可 以 保留 装置 档案 的 特殊 功能 ? 一般 来 说 只 有 /dev 这 个 目录 才 有 

nodev 会 有 特殊 的 装置 ， 因 此 你 可 以 选择 nodev 嘱 ! 

exec 是 否 具 有 执行 binary file 的 权限 ? 如 果 你 想 要 挂 载 的 仅 是 数据 区 2 

noexec (例如 /home)， 那 么 可 以 选择 noexec 啊 ! 

User 是 否 允 许 使 用 者 进行 档案 的 挂 载 与 印 除 功能 ? 如 果 要 保护 文件 系 gee 

nouser ” 统 ， 最 好 不 要 提供 使 用 者 进行 挂 载 与 印 除 吧 ! 

auto 这 个 auto 指 的 是 『mount -ad 时 ， 会 不 会 被 挂 载 的 项 目 。 如 果 你 Se 


noauto ”不 需要 这 个 partition 随时 被 挂 载 ， 可 以 设 定 为 noauto。 


一 般 来 说 ， 如 果 你 的 NFS 服务 器 所 提供 的 只 是 类 似 /home 底下 的 个 人 资料 ， 应 该 不 需要 可 
执行 、SUID 与 装置 档案 ， 因 此 当 你 在 挂 载 的 时 候 ， 可 以 这 样 下 达 指 令 喔 : 


[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -0 nosuid,noexec,nodev,rw \ 
&gt; 192.168.100.254:/home/public /home/nfs/public 


[root@clientlinux ~]# mount &#124; grep addr 
192.168.100.254:/home/public on /home/nfs/public type nfs (rw,noexec,nosuid, 
nodev, vers=4,addr=192.168.100.254,clientaddr=192.168.100.10) 


这 样 一 来 你 所 挂 载 的 这 个 文件 系统 就 只 能 作为 资料 存 取 之 用 ， 相 对 来 说 ， 对 于 客户 端 是 比较 


安全 一 些 的 。 所 以 说 ， 这 个 nosuid, noexec, nodev 等 等 的 参数 可 得 记得 啊 | 
。 关于 NFS 特殊 的 挂 载 参 数 


除了 上 述 的 mount 参数 之 外 ， 其 实 针 对 NFS 服务 器 ， 咱 们 的 Linux 还 提供 不 少 有 用 的 额外 参 
数 喔 ! 这 些 特殊 参数 还 非常 有 用 呢 ! 为 什么 呢 ? 举例 来 说 ， 由 于 文件 系统 对 Linux 是 非常 重 
要 的 东西 ， 因 为 我 们 进行 任何 动作 时 ， 只 要 有 用 到 文件 系统 ， 那 么 整个 目录 树 系统 就 会 主动 
的 去 查询 全 部 的 挂 载 点 。 如 果 你 的 NFS 服务 器 与 客户 端 之 间 的 联机 因为 网 络 问题 ， 或 者 是 服 
务 器 端 先 关 机 了 ， 却 没有 通知 客户 端 ， 那 么 客户 端 只 要 动 到 文件 系统 的 指令 (例如 df, ls, cp 等 
等 ) ， 整 个 系统 就 会 慢 到 爆 ! 因为 你 必须 要 等 到 文件 系统 搜寻 等 待 逾 时 后 ， 系 统 才 会 饶 了 你 ! 
( 鸟 哥 等 过 df 指令 30 分 钟 过 …) 


为 了 避免 这 些 困扰 ， 我 们 还 有 一 些 额 外 的 NFS 挂 载 参数 可 用 | 例如 : 


参数 参 娄 预 设 参数 
为 


数 功 能 
当 执 行 挂 载 时 ， 该 挂 载 的 行为 会 在 前 景 (fg) 还 是 在 背景 (bg) 执 
行 ? 若 在 前 景 执行 时 ， 则 mount 会 持续 尝试 挂 载 ， 直 到 成 功 或 
eb time out 为 止 ， 若 为 背景 执行 ， 则 mount 会 在 背景 持续 多 次 进 条 
行 mount ， 而 不 会 影响 到 前 景 的 程序 操作 。 如 果 你 的 网 络 联机 
有 点 不 稳定 ， 或 是 服务 器 常常 需要 开关 机 ， 那 建议 使 用 bg 比较 


如 果 是 hard 的 情况 ， 则 当 两 者 之 间 有 任何 一 部 主机 脱 机 ， 则 

RPC 会 持续 的 呼叫 ， 直 到 对 方 恢复 联机 为 止 。 如 果 是 soft 的 

话 ， 那 RPC 会 在 time out 后 『 重 复 」 呼叫， 而 非 『 持 续 J 呼 hard 
叫 ， 因 此 系统 的 延迟 会 比较 不 这 么 明显 。 同 上 上， 如果 你 的 服务 

器 可 能 开 开 关 关 ， 建 议 用 soft 嘱 |! 


当 你 使 用 上 头 提 到 的 hard 方式 挂 载 时 ， 若 加 上 intr 这 个 参数 ， 
intr 则 当 RPC 持续 呼叫 中 ， 该 次 的 呼叫 是 可 以 被 中 断 的 没有 
(interrupted)。 


Soft 
hard 


读 出 (rsize) 与 写 入 (wsize) 的 区 块 大 小 (block size)。 这 个 设 定 值 
可 以 影响 客户 端 与 服务 器 端 传输 数据 的 缓冲 记忆 容量 。 一 般 来 
说 ， 如 果 在 局 域 网 络 内 (LAN) ， 并 且 客 户 端 与 服务 器 端 都 具有 
足够 的 内 存 ， 那 这 个 值 可 以 设 定 大 一 点 ， 比 如 说 32768 (bytes) 
等 ， 提 升 缓冲 记忆 区 块 将 可 提升 NFS 文件 系统 的 传输 能 力 ! 但 
要 注意 设 定 的 值 也 不 要 太 大 ， 最 好 是 达到 网 络 能 够 传输 的 最 大 值 
为 限 。 


rsize=1024 
wsize=1024 


rsize 
wsize 


更 多 的 参数 可 以 参考 man nfs 的 输出 数据 喔 ! 通常 如 果 你 的 NFS 是 用 在 高 速 运 作 的 环境 当 
中 的 话 ， 那 么 可 以 建议 加 上 这 些 参 数 的 说 : 


[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -0 nosuid,noexec,nodev,rw \ 
&gt; -0 bg,soft,rsize=32768,wsize=32768 \\ 

&gt; 192.168.100.254:/home/public /home/nfs/public 


则 当 你 的 192.168.100.254 这 部 服务 器 因为 某 些 因素 而 脱 机 时 ， 你 的 NFS 可 以 继续 在 背景 当 
中 重复 的 呼叫 ! 直到 NFS 服务 器 再 度 上 线 为 止 。 这 对 于 系统 的 持续 操作 还 是 有 帮助 的 啦 ! 
当然 啦 ， 那 个 rsize 与 wsize 的 大 小 则 需要 依据 你 的 实际 网 络 环境 而 定 喔 ! 


Tips: 在 乌 哥 的 实际 案例 中 ， 茶 些 大 型 的 模式 运算 并 不 允许 soft 这 个 参数 喔 ! 举例 来 说 ， 乌 哥 
惯用 的 CMAQ 空气 质量 模式 ， 这 个 模式 的 丛 集 架 构 分 享 文件 系统 中 ， 就 不 允许 使 用 soft 参 
数 ! 这 点 需要 特别 留意 咀 ! 





。 将 NFS 开机 即 挂 载 


我 们 知道 开机 就 挂 载 的 挂 载 点 与 相关 参数 是 写 入 /etc/fstab 中 的 ， 那 NFS 能 不 能 写 入 

/etc/fstab 当中 呢 ? 非常 可 惜 的 是 ， 不 可 以 呢 1! 为 哈 呢 ?分 析 一 下 开机 的 流程 ， 我 们 可 以 发 现 
网 络 的 启动 是 在 本 机 挂 载 之 后 ， 因 此 当 你 利用 /etc/fstab 尝试 挂 载 NFS 时 ， 系 统 由 于 尚未 局 
动 网 络 ， 所 以 肯定 是 无 法 挂 载 成 功 的 啦 |! 那 怎 办 ? 简单 ! 就 写 入 /etc/rc.d/rc.local 即 可 |! 


[root@clientlinux ~]# vim /etc/rc.d/rc.local 
mount -t nfs -o nosuid,noexec,nodev,rw,bg,soft,rsize=32768,wsize=32768 \ 
192.168.100.254:/home/public /home/nfs/public 


13.3.3 无 法 挂 载 的 原因 分 析 


如 果 客 户 端 就 是 无 法 挂 载 服务 器 端 所 分 享 的 目录 时 ， 到 底 是 发 生 什 么 问题 ?你 可 以 这 样 分 析 
看 看 : 


e 客户 端的 主机 名 或 IP 网 段 不 被 允许 使 用 : 


的 


以 上 面 的 例子 来 说 明 ， 我 的 /homeytest 只 能 提供 192.168.100.0/24 这 个 网 域 ， 所 以 如 果 我 在 
192.168.100.254 这 部 服务 器 中 ， 以 localhost (127.0.0.1) 来 挂 载 时 ， 就 会 无 法 挂 载 上 ， 这 个 
权限 概念 没 问题 吧 ! 不 然 你 可 以 在 服务 器 上 试 试看 : 


[root@www ~]# mount -t nfs localhost:/home/test /mnt 
mount.nfs: access denied by server while mounting localhost:/home/test 


看 到 access denied 了 吧 ? 没 错 啦 一 权限 不 符 啦 ! 如 果 确 定 你 的 |P 没有 错误 ， 那 么 请 通知 服 
务 器 端 ， 请 管理 员 将 你 的 IP 加 入 /etc/exports 这 个 档案 中 。 


e@ 服务 器 或 客户 端 某 些 服务 未 启动 : 


这 个 最 容易 被 忘记 了 | 就 是 忘记 了 启动 rpcbind 这 个 服务 啦 ! 如 果 你 在 客户 端 发 现 mount 的 


[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test /mnt 
mount: mount to NFS server '192.168.100.254' failed: System Error: Connection refused. 
# 如 果 你 使 用 ping 却 发 现 网 络 与 服务 器 都 是 好 的 ， 那 么 这 个 问题 就 是 rpcbind 没有 开 啦 ! 


[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test /home/nfs 


mount: mount to NFS server '192.168.100.254' failed: RPC Error: Program not registered. 
# 注意 看 最 后 面 的 数据 ， 确 实 有 连 上 RPC ， 但 是 服务 器 的 RPC 告知 我 们 ， 该 程序 无 注册 
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要 嘛 就 是 rpcbind 忘记 开 (第 一 个 错误 )， 要 嘛 就 是 服务 器 端的 nfs 忘记 开 。 最 麻烦 的 是 ， 重 
新 启动 了 rpcbind 但 是 却 忘记 重新 启动 其 他 服务 (上 述 第 二 个 错误 ) ! 解决 的 方法 就 是 去 重新 局 
动 rpcbind 管理 的 其 他 所 有 服务 就 是 了 ! 


。 被 防火 墙 档 掉 了 : 


由 于 NFS 几乎 不 对 外 开放 ， 而 内 部 网 域 又 通常 是 全 部 的 资源 都 放行 ， 因 此 过 去 玩 NFS 的 朋 
友 (包括 鸟 哥 本 人 啦 ! ) 都 没有 注意 过 NFS 的 防火 墙 问 题 。 最 近 这 几 年 鸟 哥 在 管理 计算 机 教室 
时 ， 有 掌管 一 部 计算 机 教室 主 控 防 火 墙 ， 为 了 担心 太 厉 害 的 学 生 给 鸟 哥 乱 搞 ， 因 此 该 Linux 
防火 墙 预 设 是 仅 放行 部 分 资源 而 已 。 但 由 于 计算 机 教室 的 区 网 内 需要 用 到 Linux 的 NFS 资 

源 ， 结 果 呢 ? 竟然 没 办 法 放行 啊 ! 原来 就 是 iptables 没有 放行 NFS 所 使 用 到 的 埠 口 ~ 


所 以 ， 当 你 一 直 无 法 顺利 的 连接 NFS 服务 器 ， 请 先 到 服务 器 端 ， 将 客户 端的 |P 完全 放行 ， 
若 确定 这 样 就 连 的 上 ， 那 代表 就 是 防火 墙 有 问题 啦 | 怎么 解决 呢 ?上 一 小 节 介 绍 过 了 ， 参 考 
将 NFS 服务 器 埠 口 国定 的 方式 吧 ! 


13.3.4 自动 挂 载 autofs 的 使 用 


在 一 般 NFS 文件 系统 的 使 用 情况 中 ， 如 果 客 户 端 要 使 用 服务 器 端 所 提供 的 NFS 文件 系统 
时 ， 要 嘛 就 是 得 在 /etc/rc.d/rc.local 当中 设 定 开机 时 挂 载 ， 要 嘛 就 得 要 登入 系统 后 手动 利用 
mount 来 挂 载 。 此 外 ， 客 户 端 得 要 预先 手动 的 建立 好 挂 载 点 目录 ， 然 后 挂 载 上 来 。 但 是 这 样 
的 使 用 情况 恐怕 有 点 小 问题 。 


。 NFS 文件 系统 与 网 络 联机 的 困扰 : 


我 们 知道 NFS 服务 器 与 客户 端的 联机 或 许 不 会 永远 存在 ， 而 RPC 这 个 服务 又 提 讨 厌 的 ， 如 
果 挂 载 了 NFS 服务 器 后 ， 任 何 一 方 脱 机 都 可 能 造成 另外 一 方 老 是 在 等 待 逾 时 ~ 而且， 挂 载 的 
NFS 文件 系统 可 能 又 不 是 常常 被 使 用 ， 但 若 不 挂 裁 的 话 ， 有 时 候 紧急 要 使 用 时 又 得 通知 系统 
管理 员 ， 这 又 很 不 方便 .… 啊 | 好 讨厌 的 感觉 啊 ~@_@ 


所 以 ， 让 我 们 换个 思考 的 角度 来 讨论 一 下 使 用 NFS 的 情境 : 


。 可 不 可 以 让 客户 端 在 有 使 用 到 NFS 文件 系统 的 需求 时 才 让 系统 自动 挂 载 ? 
。 当 NFS 文件 系统 使 用 完毕 后 ， 可 不 可 以 让 NFS 自动 缉 除 ， 以 避免 可 能 的 RPC 错误 ? 


如 果 能 达到 上 述 的 功能 ， 那 就 太 完美 啦 ! 有 没有 这 东西 呢 ? 有 的 ， 在 现在 的 Linux 环境 下 这 
是 可 以 达成 的 理想 ! 用 的 就 是 autofs 这 个 服务 啦 ! 


e autofs 的 设 定 概念 : 


autofs 这 个 服务 在 客户 端 计算 机 上 面 ， 会 持续 的 侦 测 某 个 指定 的 目录 ， 并 预先 设 定 当 使 用 到 
该 目录 下 的 某 个 次 目录 时 ， 将 会 取得 来 自 服务 器 端的 NFS 文件 系统 资源 ， 并 进行 自动 挂 载 的 
动作 。 讲 这 样 或 许 你 有 点 模糊 ， 让 我 们 拿 底 下 这 个 图 示 来 看 看 : 


NFS client 中 







指向 NFS server 


0.254: /home/test 
0.254: /tmp 


图 13.3-1、autofs 自动 挂 载 的 配置 文件 内 容 示意 


如 上 图 所 示 ， 我 们 的 autofs 主要 配置 文件 为 /etc/auto.master， 这 个 档案 的 内 容 很 简单 ， 如 
上 所 示 ， 我 只 要 定义 出 最 上 层 目 录 (/home/nfsfile) 即 可 ， 这 个 目录 就 是 autofs 会 一 直 持 续 侦 
测 的 目录 啦 。 至 于 后 续 的 档案 则 是 该 目录 底下 各 次 目录 的 对 应 。 在 /etc/auto.nfs (这 个 档案 的 
档 名 可 自 定 义 ) 里 面 则 可 以 定义 出 每 个 次 目录 所 和 谷 挂 载 的 远程 服务 器 的 NFS 目录 资源 ! 


举例 来 说 : 『 当 我 们 在 客户 端 要 使 用 /home/nfsfile/public 的 数据 时 ， 此 时 autofs 才 会 去 
192.168.100.254 服务 器 上 挂 载 /home/public ! 4 且 『 当 隔 了 5 分 钟 没有 使 用 该 目录 下 的 数 
据 后 ， 则 客户 端 系统 将 会 主动 的 务 除 /homey/nfsfile/public J 。 

很 不 错 用 的 一 个 工具 吧 ! 因为 有 用 到 服务 器 的 数据 时 才 自 动 挂 载 ， 没 有 使 用 了 就 会 自动 各 
除 ! 而 不 是 传统 的 情况 一 直 是 挂 载 的 ! 既然 这 么 好 用 ， 那 就 让 我 们 实际 来 操 演 一 下 : 


e@ 建立 主 配置 文件 /etc/auto.master ， 并 指定 侦 测 的 特定 目录 


这 个 主要 配置 文件 的 内 容 很 简单 ， 只 要 有 要 被 持续 侦 测 的 目录 及 『 数 据 对 应 文件 ] 即 可 。 那 
个 数据 对 应 文件 的 文件 名 是 可 以 自行 设 定 的 ， 在 乌 哥 这 个 例子 当中 我 使 用 /etc/auto.nfs 来 命 
区 4 Le 


[root@clientlinux ~]# vim /etc/auto.master 
/home/nfsfile /etc/auto.nfs 


上 述 数 据 中 比较 需要 注意 的 是 ， 那 个 /homey/nfsfile 目录 不 需要 存在 ， 因 为 autofs 会 主动 的 建 
立 该 目录 | 如 果 你 建立 了 ， 可 能 反而 会 出 问题 ~ 因此 ， 先 确定 一 下 没有 该 目录 吧 | 
。 建立 数据 对 应 文件 内 (/etc/auto.nfs) 的 挂 载 信息 与 服务 器 对 应 资源 


刚刚 我 们 所 指定 的 /etc/auto.nfs 是 自行 设 定 的 ， 所 以 这 个 档案 是 不 存在 的 。 那 么 这 个 档案 的 
格式 是 如 何 呢 ? 你 可 以 这 样 看 : 


[本 地 端 次 目录 ]  [- 挂 载 参 数 ] [服务 器 所 提供 的 目录 ] 

选项 与 参数 : 

[本 地 端 次 目录 ] : 指 的 就 是 在 /etc/auto.master 内 指定 的 目录 之 次 目录 

[- 挂 载 参数 ] : 就 是 前 一 小 节 提 到 的 rw, bg, soft 等 等 的 参数 啦 ! 可 有 可 无 ; 


[服务 器 所 提供 的 目录 ] :例如 192.168.100.254:/home/public 等 


[root@clientlinux ~]# vim /etc/auto.nfs 

public -rw,bg,soft,rsize=32768,wsize=32768 192.168.100.254:/home/public 
testing -rw,bg,soft,rsize=32768,wsize=32768 192.168.100.254:/home/test 
temp -rw,bg,soft,rsize=32768,wsize=32768 192.168.100.254:/tmp 

# 参数 部 分 ， 只 要 最 前 面 加 个 - 符号 即 可 ! 


这 样 就 可 以 建立 对 应 了 | 要 注意 的 是 ， 那 些 /homey/nfsfile/public 是 不 需要 事先 建立 的 ! 咱们 
的 autofs 会 事情 况 来 处 理 喔 ! 好 了 ， 接 下 来 让 我 们 看 看 如 何 实 际 运作 吧 ! 


e 实际 运作 与 观察 


配置 文件 设 定 妥 当 后 ， 当 然 就 是 要 启动 autofs 啦 ! 


[root@clientlinux ~]# /etc/init.d/autofs stop 
[root@clientlinux ~]# /etc/init.d/autofs start 
# 很 奇怪 ! 非常 怪 1Cent0S 6.x 的 autofs 使 用 restart 会 失效 1 所 以 鸟 哥 才 进 行 两 次 


假设 你 目前 并 没有 挂 载 任何 来 自 192.168.100.254 这 部 NFS 服务 器 的 资源 目录 。 好 了 ， 那 让 
我 们 实际 来 观察 看 看 几 个 重要 的 数据 吧 ! 先 看 看 /homeynfsfile 会 不 会 主动 的 被 建立 ? 然后 ， 
如 果 我 要 进入 /home/nfsfile/public 时 ， 文 件 系统 会 如 何 变化 呢 ? 


[root@clientlinux ~]# 11 -d /home/nfsfile 
drwxr-xr-x. 2 root root 0 2011-07-28 00:07 /home/nfsfile 
# 仔细 看 ， 姓 会 发 现 /home/nfsfile 容量 是 9 喔 1! 那 是 正常 的 1 因为 是 autofs 建立 的 


[root@clientlinux ~]# cd /home/nfsfile/public 

[root@clientlinux public]# mount &#124; grep nfsfile 

192.168.100.254:/home/public on /home/nfsfile/public type nfs (rw,soft,rsize=32768, 
wsize=32768, sloppy,vers=4,addr=192.168.100.254,clientaddr=192.168.100.10) 

# 上 面 的 输出 是 同一 行 ! 瞧 ! 突然 出 现 这 个 玩意 儿 ! 因为 是 自动 挂 载 的 嘛 ! 


[root@clientlinux public]# df /home/nfsfile/public 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 


192.168.100.254:/home/public 
7104640 143104 6607040 3% /home/nfsfile/public 


# 档案 的 挂 载 也 出 现 没 错 ! 


呵呵 ! 申 是 好 啊 ! 如 此 一 来 ， 如 果 旨 的 有 需要 用 到 该 目录 时 ， 系 统 才 会 去 相对 的 服务 器 上 面 
挂 载 ! 若是 一 阵子 没有 使 用 ， 那 么 该 目录 就 会 被 务 除 呢 |! 这 样 就 减少 了 很 多 不 必要 的 使 用 时 
机 啦 ! 还 不 错 用 吧 ! 人 ^ 


13.4 条 例 演 练 


让 我 们 来 做 个 实际 演练 ， 在 练习 之 前 ， 请 将 服务 器 的 NFS 设 定数 据 都 清除 ， 但 是 保留 
rpcbind 不 可 关闭 。 至 于 客户 端的 环境 下 ， 先 关闭 autofs 以 及 取消 之 前 在 /etc/rc.d/rc.local 里 
面 写 入 的 开机 自动 挂 载 项 目 。 同 时 删除 /homey/nfs 目录 哆 ! 接 下 来 请 看 看 我 们 要 处 理 的 环境 
为 何 : 


模拟 的 环境 状态 中 ， 服 务 器 端的 想法 如 下 : 


1， 假 设 服务 器 的 IP 为 192.168.100.254 这 一 部 ; 


2. /tmp 分 享 为 可 擦 写 ， 并 且 不 限制 使 用 者 身份 的 方式 ， 分 享 给 所 有 192.168.100.0/24 这 个 
网 域 中 的 所 有 计算 机 ; 

3. /homey/nfs 分 享 的 属性 为 只 读 ， 可 提供 除了 网 域内 的 工作 站 外 ， 向 Internet 亦 提供 数据 内 
容 ; 


4. /home/upload 做 为 192.168.100.0/24 这 个 网 域 的 数据 上 传 目录 ， 其 中 ， 
/home/upload 的 使 用 者 及 所 属 群 组 为 nfs-upload 这 个 名 字 ， 他 的 UID GID 均 为 
210; 

5. /home/andy 这 个 目录 仅 分 享 给 192.168.100.10 这 部 主机 ， 以 提供 该 主机 上 面 andy 这 个 
使 用 者 来 使 用 ， 也 就 是 说 ，andy 在 192.168.100.10 及 192.168.100.254 均 有 账号 ， 
账号 均 为 andy ， 所 以 预计 开放 /home/andy 给 andy 使 用 他 的 家 目录 啦 ! 


服务 器 端 设 定 的 实地 演练 : 
好 了 ， 那 么 请 你 先 不 要 看 底下 的 答案 ， 先 自己 动笔 或 者 直接 在 自己 的 机 器 上 面 动手 作 作 看 ， 
等 到 得 到 你 要 的 答案 之 后 ， 再 看 底下 的 说 明 吧 | 


. 首先， 就 是 要 建立 /etc/exports 这 个 档案 的 内 容 嚼 ， 你 可 以 这 样 写 吧 ! 


[root@www ~]# vim /etc/exports 

/tmp 192.168.100.0/24(rw,no_root_squash) 

/home/nfs 192.168.100.0/24(ro) *(ro,all_ squash) 

/home/upload 192.168.100.0/24(rw,all_ squash,anonuid=210,anongid=210) 
/home/andy 192.168.100.10(rw) 


2， 再来， 就 是 要 建立 每 个 对 应 的 目录 的 实际 Linux 权限 了 ! 我 们 一 个 一 个 来 看 : 


# 1\. /tmp 
[root@www ~]# 11 -d /tmp 
drwxrwxrwt., 12 root root 4096 2011-07-27 23:49 /tmp 


# 2\. /home/nfs 

[root@www ~]# mkdir -p /home/nfs 

[root@www ~]# chmod 755 -R /home/nfs 

# 修改 较为 严格 的 档案 权限 将 目录 与 档案 设 定 成 只 读 ! 不 能 写 入 的 状态 ， 会 更 保险 一 点 ! 


# 3\. /home/upload 

[root@www ~]# groupadd -g 210 nfs-upload 

[root@www ~]# useradd -g 210 -u 210 -M nfs-upload 

# 先 建立 对 应 的 账号 与 组 名 及 UID 唾 ! 

[root@www ~]# mkdir -p /home/upload 

[root@www ~]# chown -R nfs-upload:nfs-upload /home/upload 
# 修改 拥有 者 ! 如 此 ， 则 用 户 与 目录 的 权限 都 设 定 妥 当 史 1! 


# 4\. /home/andy 

[root@www ~]# useradd andy 

[root@www ~]# 11 -d /home/andy 

drwx------ ,4 andy andy 4096 2011-07-28 00:15 /home/andy 


这 样子 一 来 ， 权 限 的 问题 大 概 就 可 以 解决 哆 ! 


3， 重 新 启动 nfs 服务 : 


[root@www ~]# /etc/init.d/nfs restart 


4. 在 192.168.100.10 这 部 机 器 上 面 演练 一 下 : 


# 1\， 确认 远程 服务 器 的 可 用 目录 : 

[root@clientlinux ~]# showmount -e 192.168.100.254 
Export Jist for 192.168.100.254: 

/home/andy 192.168.100.10 

/home/upload 192.168.100.0/24 

/home/nfs (everyone) 

/tmp 192.168.100.0/24 


# 2\， 建 立 挂 载 点 : 
[root@clientlinux ~]# mkdir -p /mnt/{tmp,nfs,upload,andy} 


# 3\， 实 际 挂 载 : 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/tmp /mnt/tmp 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/nfs /mnt/nfs 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/upload /mnt/upload 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/andy /mnt/andy 


整个 步骤 大 致 上 就 是 这 样 响 ! 加 油 喔 ! 


13.5 重点 回顾 


。 Network FileSystem J ee 网 络 分 享 彼此 的 档案 与 目录 ; 

。 NFS 主要 是 透 过 RPC 来 进行 file share 的 目的 ， 所 以 Server 与 Client 的 RPC 一 定 要 局 
动 才 行 ! 

。 NFS 的 配置 文件 就 是 /etc/exports 这 个 档案 ; 

。 NFS 的 权限 可 以 观察 /var/lib/nfs/etab， 至 于 的 重要 登录 档 可 以 参考 /varlib/nfs/xtab 这 个 
档案 ， 还 包含 相当 多 有 用 的 信息 在 其 中 ! 

e。 NFS 服务 器 与 客户 端的 使 用 者 账号 名 称 、UID 最 好 要 一 致 ， 可 以 避免 权限 错乱 : 

e。 NFS 服务 器 预 设 对 客户 端的 root 进行 权限 压缩 ， 通 常 压缩 其 成 为 nfsnobody 或 
nobody。 

e。 NFS 服务 器 在 更 动 /etc/exports 这 个 档案 之 后 ， 可 以 透 过 exportfs 这 个 指令 来 重新 挂 载 
分 享 的 目录 ! 

e。 可 以 使 用 rpcinfo 来 观察 RPC program 之 间 的 关系 1 1 | 

。 NFS 服务 器 ee 受 定之 初 ， 就 必须 要 考虑 到 client 端 登入 的 权限 问题 ， 很 多 时 候 无 法 写 入 
或 者 无 法 进行 分 享 ， 主 要 是 Linux 实体 档案 的 权限 设 定 问题 所 致 ! 

e。 NFS 客户 端 可 以 透 过 使 用 showmount mount 与 umount 来 使 用 NFS 主机 提供 的 分 享 的 
目录 ! 

e。 NFS 亦 可 以 使 用 挂 载 参数 ， 如 bg, soft, rsize, wsize, nosuid, noexec, nodev 等 参数 ， 来 
达到 保护 自己 文件 系统 的 目标 ! 

e 自动 挂 载 的 autofs 服务 可 以 在 客户 端 需要 NFS 服务 器 提供 的 资源 时 才 挂 载 。 


13.6 本 章 习 是 


。 NFS 的 主要 配置 文件 为 何 ? 而 在 该 档案 内 主要 设 定 项 目 为 何 ? 主要 的 配置 文件 为 
/etc/exports 而 至 于 其 设 定 的 内 容 项 目 在 每 一 行当 中 则 为 : 


1. 分 享 的 目录 

2.， 针对 此 分 享 目录 开放 的 主机 或 |P 或 网 域 

3. 针对 这 部 主机 所 开放 的 权限 参数 ! 
在 NFS 主要 的 配置 文件 当中 仅 有 少许 的 参数 说 明 ， 至 于 预 设 的 参数 说 明 则 没有 在 该 档案 
当中 出 现 ， 请 问 ， 如 果 要 查阅 更 详细 的 分 享 出 来 的 档案 的 属性 ， 要 看 那个 档 

案 ? /varllib/nfs/etab 


在 client 端 如 果 要 挂 载 NFS 所 提供 分 享 的 档案 ， 可 以 使 用 那个 指令 ? 那 自然 就 是 mount 
啦 | 还 有 印 除 是 umount 吕 ! 

在 NFS 主要 配置 文件 当中 ， 可 以 透 过 那个 参数 来 控制 不 让 client 端 以 root 的 身份 使 用 你 
所 分 享 出 来 的 目录 与 档案 ? 可 以 在 /etc/exports 当中 的 参数 项 目 ， 设 定 『 root squash 4 
来 控制 压缩 root 的 身份 喔 ! 

我 在 client 端 挂 载 了 NFS Server 的 某 个 目录 在 我 的 /home/data 底下 ， 当 我 执行 其 中 某 
个 程序 时 ， 却 发 现 我 的 系统 被 破坏 了 ? 你 认为 可 能 的 原因 为 何 ? 该 如 何 克 服 这 样 的 问 
题 ， 尤 其 是 当 我 的 Client 端 主 机 其 实 是 多 人 共享 的 环境 ， 怕 其 他 的 使 用 者 也 同样 发 生 类 
似 的 问题 呢 ? | 


o 可 能 由 于 你 挂 载 进来 的 NFS Server 的 partition 当中 具有 SUID 的 文件 属性 ， 而 你 不 
小 心 使 用 了 该 执行 档 ， 因 此 就 可 能 会 发 生 系 统 被 破坏 的 问题 了 ! 

o 可 以 将 挂 载 进来 的 NFS 目录 的 SUID 功能 取消 1 例如 : 

o 可 能 由 于 你 挂 载 进来 的 NFS Server 的 partition 当中 具有 SUID 的 文件 属性 ， 而 你 不 
小 心 使 用 了 该 执行 档 ， 因 此 就 可 能 会 发 生 系 统 被 破坏 的 问题 了 | 

o 可 以 将 挂 载 进 来 的 NFS 目录 的 SUID 功能 取消 ! 例如 : mount -t nfs -o nosuid,ro 
server:/directory /your/directory 


13.7 参考 数据 与 延伸 阅读 


。 注 1: Sun ( 升 阳 ) 公司 已 经 被 甲骨 文 (Oracle) 公司 合并 了 ， 因 此 公司 网 址 改 于 : 
http://www.oracle.com/us/sun/index.html 

e http://www.faqs.org/rfcs/rfc1094.html 乌 哥 这 里 的 备 
份 : http://linux.vbird.org/linux_server/0330nfs/0330nfs_rpc.html 

e http://www.tldp.org/HOWTO/NFS-HOWTO/index.html 

e man exports 

。 man autofs 


2002/11/17 : 第 一 次 完成 2003/03/09 : 修改 部 分 内 容 ， 并 且 新 增 LP| 相关 性 与 重点 整理 部 
分 ! 2003/09/10 : 又 重新 修改 版 面 ， 以 及 新 增 主机 的 规划 等 部 分 。 2006/09/19 : 将 昌 的 文章 
移动 到 此 处 2006/09/22 : 加 入 了 autofs 等 等 的 数据 喔 ! 2007/02/27 : 原本 rsize 定义 为 
8192， 但 最 近 看 一 些 文献 ， 应 该 改 为 32768 比较 妥当。 2009/07/04 : 在 最 后 的 案例 演练 部 
分 ，|P 不 可 使 用 星 号 (*) 的 通配符 ! 感谢 讨论 区 网 友 acer07 的 回报 ! 2011/03/03 : 将 昌 的 基 
于 CentOS 4.x 的 文章 移动 到 此 处 2011/03/12 : 修订 完成 了 ! 比较 大 的 问题 在 于 nfsnobody 
可 能 有 时 并 不 会 压缩 喔 ! 2011/07/27 : 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


第 十 四 章 、 账 号 控 管 : NIS 服务 器 


最 近 更 新 日 期 : 2011/07/28 


有 没有 想 过 ， 如 果 我 有 十 部 Linux 主机 ， 这 十 部 主机 仅 负责 不 同 的 功能 ， 事 实 上 ， 所 有 的 主 
机 账号 与 对 应 的 密码 都 相同 ! 那么 我 是 将 账号 与 密码 分 别 设 定 置 在 十 部 计算 机 上 面 ， 还 是 可 
以 透 过 一 部 主机 做 为 账号 管理 的 功能 ， 然 后 其 他 的 主机 只 要 当 用 户 用 登入 时 ， 就 必须 要 到 管 
理 账号 的 主机 上 面 确认 其 账号 与 密码 呢 ? 哪 一 个 比较 方便 而 且 灵 活 ? 当然 是 找 一 个 账号 管理 
的 主机 比较 方便 的 多 啦 ! 如 果 有 用 户 要 修改 密码 ， 不 必要 去 到 十 部 主机 修改 密码 啦 ! 只 要 到 
主要 管理 主机 去 修改 ， 其 他 的 主机 根本 就 不 需要 更 动 | 哈哈 | 轻松 又 愉快 呢 ! 这 个 功能 的 达 
成 有 很 多 的 方式 ， 在 这 里 ， 我 们 介绍 一 个 很 简单 的 方式 ， 那 就 是 Network Information Service 
这 个 NIS 服务 器 的 架设 啦 ! 


e 14.1 NIS 的 由 来 与 功能 
o 14.1.1 NIS 的 主要 功能 : 管理 帐户 信息 
o 14.1.2 NIS WA : 透 过 RPC 服务 
e 14.2 NIS server 端的 设 定 
o 14.2.1 所 需要 的 软件 
14.2.2 NIS 服务 器 相关 的 配置 文件 
14.2.3 一 个 实 作 案例 
14.2.4 NIS master 的 设 定 与 启动 
o 14.2.5 a 
e 14.3 NIS client 端的 设 定 
o 14.3.1 NIS client 所 需 软 件 与 软件 结构 
o 14.3.2 NIS client 的 设 定 与 启动 
o 14.3.3 NIS client 端的 检验 : yptest, ypwhich, ypcat 
o 14.3.4 使 用 者 参数 修改 : yppasswd, ypchfn, ypchsh 
。 14.4 NIS 搭配 NFS 的 设 定 在 丛 集 计 草 机 上 的 应 用 
e 14.5 重点 回顾 
e 14.6 课 后 练习 
。 14.7 参考 数据 与 延伸 阅读 
e 14.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=115269 


O 


[© 


O 


14.1 NIS 的 由 来 与 功能 


在 一 个 大 型 的 网 域 当 中 ， 如 果 有 多 部 Linux 主机 ， 万 一 要 每 部 主机 都 需要 设 定 相同 的 账号 与 
密码 时 ， 你 该 怎么 办 ? 复制 /etc/passwd ?应 该 没有 这 么 呆 吧 ? 如果 能 够 有 一 部 账号 主 控 服 务 
器 来 管理 网 域 中 所 有 主机 的 账号 ， 当 其 他 的 主机 有 用 户 登 入 的 需求 时 ， 才 到 这 部 主 控 服务 器 
上 面 要 求 相 关 的 账号 、 密 码 等 用 户 信息 ， 如 此 一 来 ， 如 果 想 要 增加 、 人 修改、 删除 用 户 数据 ， 
只 要 到 这 部 主 控 服 务 器 上 面 处 理 即 可 ， 这 样 就 能 够 降低 重复 设 定 使 用 者 账号 的 步骤 了 。 


这 样 的 功能 有 很 多 的 服务 器 软件 可 以 达成 ， 这 里 我 们 要 介绍 的 则 是 Network Information 
Services (NIS server) 这 个 服务 器 软件 喔 ! 底下 就 先 来 谈 一 谈 这 个 NIS 的 相关 功能 吧 ! 


Tips: NIS 主要 提供 的 是 用 户 的 帐号、 密码 、 家 目录 文件 名 、UID 等 信息 ， 但 NIS 并 没有 提供 
文件 系统 。 同 时 ，NIS 同样 使 用 前 一 章 谈 到 的 RPC 服务 器 ， 因 此 在 本 章 开 始 前 ， 你 还 是 得 要 
认识 一 下 第 十 三 章 谈 到 的 NFS 与 RPC， a a 

章 账号 管理 ， 同 时 也 得 了 解 一 下 基础 学 习 篇 第 二 十 二 章 make/Makefile 的 信息 才 好 。 





14.1.1 NIS 的 主要 功能 : 管理 帐户 信息 


通常 我 们 都 会 建议 ， 一 部 Linux 主机 的 功能 越 单纯 越 好 ， 也 就 是 说 ， 一 部 Linux 就 专门 进行 一 
项 服务 。 这 样 有 许多 的 好 处 ， 这 包含 功能 单纯 所 以 系统 资源 得 以 完整 运用 ， 并 且 在 发 生 入 侵 
或 者 是 系统 产生 状况 的 时 候 ， 也 比较 容易 追查 问题 所 在 。 因 此 ， 一 个 公司 内 部 常常 会 有 好 几 
部 Linux 主机 ， 有 的 专门 负责 WWW 、 有 的 专门 负责 Mail 、 有 的 专门 负责 SAMBA 等 等 的 服 


务 。 


这 样 虽然 有 分 散 风险 、 容 易 追 踪 问 题 的 好 处 ， 但 是 ， 由 于 是 同一 个 公司 内 的 多 部 主 
， ee Linux 主机 的 账号 与 密码 都 是 一 样 的 ! 哇 1 那 如 果 公 司 里 面 有 100 的 
人 的 话 ， 我 们 就 需要 针对 这 么 多 部 的 主机 去 设 定 账号 密码 了 | 而 且 ， 如 果 未 来 还 有 新 进 员工 
的 话 ， 那 么 光 是 设 定 密码 就 会 使 系统 管理 员 抓 狂 了 | 


这 个 时 候 ， 让 我 们 换 一 个 角度 来 思考 : 如 果 我 设计 了 一 部 专门 管理 账号 与 密码 的 服务 器 ， 而 

其 他 的 Linux 主机 当 有 客户 端 要 登入 的 时 候 ， 就 由 须要 到 这 文部 管理 密码 的 服务 器 来 查寻 用 户 
的 账号 与 密码 ， 如 此 一 来 ， 我 要 管理 所 有 的 Linux 主机 的 账号 与 密码 ， 只 要 到 那 部 主 服 
上 面 去 进行 设 定 即 可 | 包括 新 进 人 员 的 设 定 ， 反 正 其 他 的 Linux 主机 都 是 向 它 查寻 的 嘛 ! 
错 ! 站 是 好 一 这 个 就 是 Network Information Service, NIS 服务 器 的 主要 功能 啦 ! 


事实 上 ，Network Information Service 最 早 应 该 是 称 为 Sun Yellow Pages (简称 yp)， 也 就 是 

Sun 这 家 公司 出 的 一 个 名 为 Yellow Pages 的 服务 器 软件 ， 请 注意 ，NIS 与 YP 是 一 模 一 样 的 

吹 吹 喔 ! 这 个 Yellow Pages 名 字 取 的 站 是 好 ! 怎么 说 呢 ? 知道 黄页 (Yellow Pages) 是 什么 

吗 ? 就 是 我 们 家 里 的 电话 簿 啦 ! 今天 如 果 你 要 查寻 一 家 厂商 的 电话 号 码 ， 通 常 就 是 直接 去 查 
黄页 上 面 的 纪录 来 取得 电话 号 码 啊 | 而 这 个 NIS 也 一 样 ， 当 使 用 者 要 登入 时 ，Linux 系统 就 

会 到 NIS 服务 器 上 面 去 找寻 这 个 使 用 的 账号 与 密码 信息 来 加 以 比 对 ， 以 提供 使 用 者 登入 之 用 

的 检验 啊 ! 很 棒 吧 | ^ 人 和 


那么 NIS 服务 器 提供 了 哪些 信息 呢 ? 还 记得 账号 与 密码 放置 在 哪里 吧 ? NIS 就 是 提供 那些 数 
据 啦 ! 主要 有 底下 这 些 基 本 的 数据 提供 给 有 登入 需求 的 主机 嘱 : 


服务 器 端 文件 名 档案 内 容 
/etc/passwd 提供 用 户 账号 、UID、GID、 家 目录 所 在 、Shell 等 等 
/etc/group 提供 群 组 数据 以 及 GID 的 对 应 ， 还 有 该 群 组 的 加 入 人 员 
/etc/hosts 主机 名 与 IP 的 对 应 ， 常 用 于 private IP 的 主机 名 对 应 
/etc/services 每 一 种 服务 (daemons) 所 对 应 的 起 口 (port number) 
/etc/protocols 基础 的 TCP/IP 封包 协定 ， 如 TCP, UDP, ICMP 等 
/etc/rpc 每 种 RPC 服务 器 所 对 应 的 程序 号 码 
/var/yp/ypservers NIS 服务 器 所 提供 的 数据 库 


至 少 可 以 提供 上 述 这 些 功能 ， 当 然 啦 ， 你 也 可 以 自行 定义 哪些 数据 库 需 要 ， 哪 些 数据 库 不 需 
要 | 


14.1.2 NIS 的 运作 流程 : 透 过 RPC 服务 


由 于 NIS 服务 器 主要 是 提供 用 户 登 入 的 信息 给 客户 端 主机 来 查询 之 用 ， 所 以 ，NIS 服务 器 所 
提供 的 数据 当然 就 需要 用 到 传输 与 读 写 比较 快速 的 "数据 库 " 文件 系统 ， 而 不 是 传统 的 纯 文本 
数据 。 为 了 要 达到 这 个 目的 ， 所 以 NIS 服务 器 就 必须 要 将 前 一 小 节 提 到 的 那些 档案 制作 成 为 
os 
NFS 相同 ， 都 使 用 远程 过 程 调用 (RPC) 这 个 玩意 儿 喔 ! 


此 外 ， 如 果 在 一 个 很 大 型 的 网 域 里 面 ， 万 一 所 有 的 Linux 主机 都 向 同一 部 NIS 服务 器 要 求 用 
户 数据 时 ， 这 部 NIS 服务 器 的 负载 (loading) 可 能 会 过 大 。 甚 至 如 果 考 虑 到 数据 使 用 的 风 
险 ， 要 是 这 单一 的 一 部 NIS 服务 器 挂 点 时 ， 那 其 他 的 Linux 主机 还 要 不 要 让 Users 登入 啊 ? 
所 以 嚼 ， 在 较为 大 型 的 企业 环境 当中 ，NIS 服务 器 可 以 使 用 master/slave ( 主 控 / 辅 助 服务 器 ) 
架构 的 。 


Master NIS 服务 器 提供 系统 管理 者 制作 的 数据 库 ，slave 则 取得 来 自 master 的 数据 ， 并 藉以 
提供 其 他 客户 端的 查询 。 客户 端 可 以 向 整个 网 域 要 求 用 户 资 料 的 响应 ，master 与 slave 恬 可 
回答 ， 由 于 slave 的 数据 来 自 于 master ， 所 以 用 户 账号 数据 本 身 是 同步 的 ! 如 此 一 方面 可 
以 分 散 NIS 服务 器 的 负载 ， 而 且 也 可 以 避免 因 NIS 服务 器 挂 点 而 导致 的 无 法 登入 的 风险 。 


1. 取得 maaster 的 database 和 1. 取 得 master 的 datbase 
2. 提供 NIS client 查 询 提供 NIS cnt 查 询 2. 提 世 NIS client 查 伺 


letc/shadow 


2. NIS 查 词 ne 
与 客户 端的 运作 与 查询 方式 示意 图 





整个 NIS 的 运作 就 如 同上 图 ， 首 先 必 须要 有 NIS server 的 存在 ， 之 后 才 会 有 NIS Client 的 存 
在 。 那 么 当 使 用 者 有 登入 的 需求 时 ， 整 个 NIS 的 运作 程序 是 : 


。 关于 NIS Server (master/slave) 的 运作 程序 : 


NIS Master 先 将 本 身 的 账号 密码 相关 档案 制作 成 为 数据 库 档案 ; 

NIS Master 可 以 主动 的 告知 NIS slave server 来 更 新 ; 

NIS slave 亦 可 主动 的 前 往 NIS master server 取得 更 新 后 的 数据 库 档案 ; 

. 若 有 账号 密码 的 异动 时 ， 需 要 重新 制作 database 与 重新 同步 化 masterslave 。 
。 关于 当 NIS Client 有 任何 登入 查询 的 需求 时 : 


和 wm N 一 


1. NIS client 若 有 登入 需求 时 ， 会 先 查 询 其 本 机 的 /etc/passwd, /etc/shadow 等 档案 ; 
2. 若 在 NIS Client 本 机 找 不 到 相关 的 账号 数据 ， 才 开始 向 整个 NIS 网 域 的 主机 广播 查 
询 ; 
3. 每 部 NIS server (不 论 master/slave) 都 可 以 响应 ， 基 本 上 是 『 先 响应 者 优先 〗。 
从 上 面 的 流程 当中 ， 你 会 发 现 NIS client 还 是 会 先 针对 本 机 的 账号 数据 进行 查询 ， 若 本 机 查 不 


到 时 才 到 NIS server 上 头 寻 找 。 因 此 ， 如 果 你 的 NIS client 本 身 就 有 很 多 一 般 使 用 者 的 账号 
时 ， 那 跟 NIS server 所 提供 的 账号 就 可 能 产生 一 定 程度 的 差异 哩 1 所 以 ， 一 般 来 说 ， 在 这 样 


的 环境 下 ，NIS client 或 NIS slave server 会 主动 拿 掉 自己 本 机 的 一 般 使 用 者 账号 ， 仅 会 保留 
系统 所 需要 的 root 及 系统 账号 而 已 。 如 此 一 来 ， 一 般 使 用 者 才 都 会 经 由 NIS master server 
所 控 管 啊 !1 ^ 和 ^ 


根据 上 面 图 14.1-1 的 说 明 ， 我 们 的 NIS 环境 大 致 上 需要 设 定 的 基本 组 件 就 有 : 


。 NIS Master server : 将 档案 建 置 成 数据 库 ， 并 提供 slave server 来 更 新 ; 
。 NIS Slave server : 以 Master server 的 数据 库 作 为 本 身 的 数据 库 来 源 ; 
e NIS client : 向 master/server 要 求 登入 者 的 验证 数据 。 


就 如 同上 面 提 到 的 ， 在 大 型 环境 中 才 会 使 用 到 这 么 复杂 的 NIS master/slave 架构 。 因 此 ， 本 
章 仅 会 介绍 NIS Master 的 建 置 ， 以 及 NIS client 的 设 定 而 已 。 其 实 ，NIS 服务 使 用 的 环境 大 
概 越 来 越 仅 局 限 在 学 术 数 值 模式 仿 丨 的 从 集 计算 机 架构 中 (PC cluster)， 在 那样 的 架构 中 ， 老 
实说 ， 鸟 哥 认为 仅 要 学 会 NIS master 即 可 。 如 果 还 有 其 他 账号 方面 的 要 求 ， 例 如 跨 平 台 的 帐 
户 信息 提供 ， 那 可 能 就 得 要 参考 Samba 或 更 进 阶 的 LDAP 才 好 哆 ! 这 里 我 们 不 谈 啦 一 现 
在 ， 就 让 我 们 开始 来 玩 一 玩 这 个 NIS 的 设 定 吧 | 


14.2 NIS Server 端的 设 定 


NIS 服务 器 端 主要 在 于 提供 数据 库 给 客户 端 作为 验证 之 用 ， 虽 然 NIS 服务 器 类 型 有 Master 与 
Slave ， 不 过 鸟 哥 这 里 介绍 的 并 不 是 大 型 企业 环境 ， 因 此 仅 介 绍 NIS master 的 设 定 而 已 啦 ~~ 
那 就 来 设 定 看 看 哆 ! 


14.2.1 所 需要 的 软件 


由 于 NIS 服务 器 需要 使 用 RPC 协议 ， 且 NIS 服务 器 同时 也 可 以 当成 客户 端 ， 因 此 它 需要 的 
软件 就 有 底下 这 几 个 : 


e yp-tools : 提供 NIS 相关 的 查寻 指令 功能 
。 ypbind : 提供 NIS Client 端的 设 定 软件 

e ypserv : 提供 NIS Server 端的 设 定 软件 
e。 rpcbind : 就 是 RPC 一 定 需 要 的 数据 啊 | 


如 果 你 是 使 用 Red Hat 的 系统 ， 例 如 我 们 的 CentOS 6.x 的 话 ， 那 你 可 以 利用 『 rpm -qa | 
grep yp' 」 来 检查 是 否 有 安装 上 述 的 软件 。 一 般 来 说 yp-tools, ypbind 都 会 主动 的 安装 ， 不 
过 ypserv 可 能 就 不 会 安装 了 。 此 时 建议 你 直接 使 用 『 yum install ypserv 」 来 安装 吧 ! 立刻 
就 装 好 了 。 底 下 立刻 来 设 定 嘿 ! 


14.2.2 NIS 服务 器 相关 的 配置 文件 


在 NIS 服务 器 上 最 重要 的 就 是 ypserv 这 个 软件 了 ， 但 是 ， 由 于 NIS 设 定时 还 会 使 用 到 其 他 
网 络 参 数 设 定数 据 ， 因 此 在 配置 文件 方面 需要 有 底下 这 些 数据 喔 : 


e /etc/ypserv.conf : 这 是 最 主要 的 ypserv 软件 所 提供 的 配置 文件 ， 可 以 规范 NIS 客户 端 是 
否 可 登入 的 权限 。 

/etc/hosts : 由 于 NIS server/client 会 用 到 网 络 主机 名 与 IP 的 对 应 ， 因 此 这 个 主机 名 对 应 
档 就 显 的 相当 重要 ! 每 一 部 主机 名 与 IP 都 需要 记录 才 行 ! 

/etc/sysconfig/network : 可 以 在 这 个 档案 内 指定 NIS 的 网 域 (nisdomainname)。 
/var/yp/Makefile : 前 面 不 是 说 账号 数据 要 转 成 数据 库 文件 吗 ? 这 就 是 与 建立 数据 库 有 关 
的 动作 配置 文件 ; 


至 于 NIS 服务 器 提供 的 主要 服务 方面 有 底下 两 个 : 


e。 /usr/sbin/ypserv : 就 是 NIS 服务 器 的 主要 提供 服务 ; 
。 /usr/sbin/rpc.yppasswdd : 提供 额外 的 NIS 客户 端 之 用 户 密码 修改 服务 ， 透 过 这 个 服 
务 ，NIS 客户 端 可 以 直接 修改 在 NIS 服务 器 上 的 密码 。 相 关 的 使 用 程序 则 是 yppasswd 


与 账号 密码 的 数据 库 有 关 的 指令 方面 有 底下 几 个 : 


e /usr/lib64/yp/ypinit : 建立 数据 库 的 指令 ， 非 常常 用 (在 32 位 的 系统 下 ， 文 件 名 则 是 
/uswlib/yp/ypinit 喔 1 ); 
e /usrbin/yppasswd : 与 NIS 客户 端 有 关 ， 主 要 在 让 用 户 修改 服务 器 上 的 密码 。 


14.2.3 一 个 实 作 委 例 


如 果 你 有 观察 过 图 14.1-1 的 话 ， 你 会 发 现 到 我 们 的 NIS 需要 设 定 Master/Slave 及 client 等 ， 
不 过 我 们 这 里 仅 介 绍 NIS master server 与 NIS client 两 个 组 件 而 已 ， 如 果 你 有 需要 额外 的 
slave 的 话 ， 再 请 查阅 NIS 官网 的 介绍 嘿 。 底 下 鸟 哥 先 拟 一 个 简单 的 案例 ， 做 完 案例 我 们 再 
来 谈 谈 实际 可 能 会 使 用 于 丛 集 计算 机 的 案例 吧 ! 


e。 NIS 的 域名 为 vbirdnis 

e 整个 内 部 的 信任 网 域 为 192.168.100.0/24 

。 NIS master server 的 IP 为 192.168.100.254 ， 主 机 名 为 www.centos.vbird 
e。 NIS client 的 IP 为 192.168.100.10， 主 机 名 为 clientlinux.centos.vbird 


底下 我 们 就 一 个 一 个 来 设 定 吧 ! 


14.2.4 NIS server 的 设 定 与 启动 


NIS 服务 器 的 设 定 卜 是 很 简单 ， 首 先 ， 你 必须 要 在 NIS 服务 器 上 面 搞定 你 的 账号 与 密码 相关 
数据 ， 这 包括 /etc/passwd, /etc/shadow, /etc/hosts, /etc/group .... 等 等 ， 都 得 要 先 搞定 才 
行 | 详细 的 账号 相关 资料 请 参考 基础 篇 的 第 十 四 音 账 号 管理 。 等 到 搞定 之 后 你 就 可 以 继续 
NIS 服务 器 的 设 定 了 : 


e。 1. 先 设 定 NIS 的 域名 (NIS domain name) 


NIS 是 会 分 领域 名 (domain name) 来 分 辩 不 同 的 账号 密码 数据 的 ， 因 此 你 必须 要 在 服务 器 与 
客户 端 都 指定 相同 的 NIS 领域 名 才 行 。 设 定 这 个 NIS 领域 名 的 动作 很 简单 ， 就 直接 编辑 
/etc/sysconfig/network 即 可 ! 如 下 所 示 : 


[root@www ~]# vim /etc/sysconfig/network 

# 不 要 更 改 其 他 既 有 数据 ， 只 要 加 入 底下 这 几 行 即 可 : 
NISDOMAIN=vbirdnis &1t ;== 设 定 NIS 领域 名 
YPSERV_ARGS="-p 1011" ”&1t;== 设 定 NIS 每 次 都 启动 在 固定 的 埠 口 


当然 ， Ci 手动 的 方式 暂时 设 定好 你 的 NIS 领域 名 ， 透 过 的 方法 就 是 
nisdomainname 这 个 指令 。 (其 实 nisdomainname 与 ypdomainname 及 domainname 都 是 
一 模 一 样 的 指令 啦 ! 你 只 要 记 住 一 个 指令 名 称 即 可 。 请 自行 man domainname 吧 | ) 不 过 ， 这 
个 指令 现在 大 概 只 用 来 检查 设 定 是 否 正确 ， 因 为 启动 NIS 服务 器 时 ， 服 务 器 去 提取 的 数据 就 
是 从 network 这 个 档案 里 面 提取 的 |! 所 以 只 要 改 这 个 配置 文件 即 可 啊 ! 


另外 ， 由 于 未 来 想 使 用 iptables 直接 管理 NIS 的 使 用 ， 因 此 我 们 想 要 控制 NIS 启动 在 固定 的 
堆 口 上 。 此 时 ， 就 使 用 TYPSERV_ARGS="-p 1011"J 这 a 


。 2. 主要 配置 文件 /etc/ypserv.conf 


这 个 配置 文件 就 是 NIS 服务 器 最 主要 的 配置 文件 啦 ! 内 容 其 实 很 简单 ， 你 可 以 保留 默认 值 即 
可 。 不 过 ， 也 可 以 作 一 些 更 动 啦 1! 


[root@www ~]# vim /etc/ypserv.conf 
dns: no 
# NIS 服务 器 大 多 使 用 于 内 部 局 域 网 络 ， 只 要 有 /etc/hosts 即 可 ， 不 用 DNS 啦 


files: 30 
# 预 设 会 有 3Q 个 数据 库 被 读 入 内 存 当中 ， 其 实 我 们 的 账号 档案 并 不 多 ，3Q 个 够 用 了 。 


xfr_check_port: yes 
# 与 master/slave 有 关 ， 将 同步 更 新 的 数据 库 比 对 所 使 用 的 端口 ， 放 置 于 &lt;1024 内 。 


# 底下 则 是 设 定 限制 客户 端 或 Slave server 查询 的 权限 ， 利 用 冒号 隔 成 四 部 分 : 

# **[ 主 机 名 /IP] : [NIS 域 名 ] : [可 用 数据 库 名 称 ] : [安全 限制 ]** 

# [主机 名 /IP] : 可 以 使 用 network/netmask 如 192.168.100.0/255.255.255.0 
# [NIS 域 名 ] : 例如 本 案例 中 的 vbirdnis 

# [可 用 数据 库 名 称 ] : 就 是 由 NIS 制作 出 来 的 数据 库 名 称 ; 

# [安全 限制 ] : 包括 没有 限制 (none) 、 仅 能 使 用 &lLt;1024 (port) 及 拒绝 (deny) 
# 一 般 来 说 ， 你 可 以 依照 我 们 的 网 域 来 设 定 成 为 底下 的 模样 : 

127.0.0.0/255.255.255.0 EnOne 
192.168.100.0/255.255.255.0 :* :* :; none 

* 日 党 于 大 deny 

# 星 号 (*) 代表 任何 数据 都 接受 的 意 。 上 面 三 行 的 意思 是 ， 开 放 10 内 部 接口 、 


# 开放 内 部 LAN 网 域 ， NIS 要 求 的 意思 。 


加 还 有 一 个 简单 作法 ， 你 可 以 先 将 上 面 三 和 了 批注 ， 然 后 加 入 底下 这 一 行 即 可 : 
* : :none 


由 于 鸟 哥 习惯 在 内 部 网 域 并 不 设 定 比 较 严 格 的 限制 ， 因 此 通常 鸟 哥 都 是 选择 使 用 『 ;::* :none 
」 那个 设 定 值 ! 然后 透 过 iptables 来 管控 可 使 用 的 来 源 就 是 了 。 当 然 ， 你 可 以 依据 你 的 需求 
来 设 定 啦 ! 


e。 3. 设 定 主机 名 与 IP 的 对 应 (/etc/hosts) 


在 /etc/ypserv.conf 的 设 定 当中 我 们 谈 到 NIS 大 部 分 是 给 局 域 网 络 内 的 主机 使 用 的 ， 所 以 当然 
就 不 需要 DNS 的 设 定 了 。 不 过 ， 由 于 NIS 使 用 到 很 多 的 主机 名 ， 但 是 网 络 联机 透 过 的 是 |P 
啊 | 所 以 你 一 定 要 设 定 好 /etc/hosts 里 面 的 主机 名 与 IP 的 对 应 ， 否 则 会 无 法 成 功 联机 NIS | 
这 个 很 重要 ， 绝 大 部 分 的 朋友 无 法 达成 NIS serverclient 的 联机 都 是 这 里 出 问题 而 已 。 依据 
本 案例 的 设 定 值 ， 你 应 该 这 样 做 : 


[root@www ~]# vim /etc/hosts 

# 原本 就 有 的 localhost 与 127.0.0.1 之 类 的 设 定 都 不 要 更 动 ， 只 要 新 增 数据 : 
&lt;u&gt;192.168.100.254 www.centos.vbird&]lt;/u&gt; 
192.168.100.10 clientlinux.centos.vbird 


[root@www ~]# hostname 
www.centos.vbird 
# 再 做 个 确认 ， 确 定 输 出 的 主机 名 与 本 机 IP 确实 有 写 入 /etc/hosts 喔 ! 


注意 ! 如 果 你 (hostname) 与 NIS A 那么 在 这 个 档案 当中 还 是 需要 将 
你 的 主机 名 给 他 设 定 进来 ! 否则 在 后 面 数 据 库 的 设 定时 ， 肯 定 会 发 生 问题 。 当 然 啦 ， 你 也 可 
以 直接 在 ee 当中 直接 重新 ?1 ， 然 后 重新 启动 ， 或 者 是 利用 
hostname 这 个 指令 重新 设 定 你 的 主机 名 也 可 以 。 


启动 与 观察 所 有 相关 的 服务 


接 下 来 当然 是 先 启动 所 有 相关 的 服务 嘿 ， 这 包括 RPC, ypserv 以 及 yppasswdd 哩 ! 不 过 ， 
果 你 的 RPC 本 来 就 已 经 启动 的 话 ， 那 就 不 要 重新 启动 rpcbind 了 ! 此 外 ， 为 了 也 让 
yppasswdd 局 动 在 国定 的 起 口 ， 方 便 防 火 墙 的 管理 ， 因 此 ， 我 们 也 建议 你 可 以 设 定 一 下 
/etc/sysconfig/yppasswdd 呢 |! 


[root@www ~]# vim /etc/sysconfig/yppasswdd 
YPPASSWDD_ARGS="--port 1012" &1t ;== 找 到 这 个 设 定 值 ， 修改 一 下 内 容 成 这 样 ! 


[root@www ~]# /etc/init.d/ypserv start 
[root@www ~]# /etc/init.d/yppasswdd start 
[root@www ~]# chkconfig ypserv on 
[root@www ~]# chkconfig yppasswdd on 


注意 ， 的 NIS 服务 是 ypserv ， 不 过 ， 如 果 要 提供 NIS 客户 端的 密码 修改 功能 的 话 ， 最 
好 还 是 得 要 启动 yppasswdd 这 个 服务 才 好 。 在 启动 完毕 后 ， 我 们 可 以 利用 rpcinfo 来 检查 看 
看 : 


[root@www ~]# rpcinfo -p localhost 
program vers proto port service 
100000 4 tcp 111 portmapper 
100000 4 udp 111 portmapper 


100004 2 udp 1011 ypserv 
100004 工 udp 1011 ypserv 
100004 2 tcp 1011 ypserv 
100004 J tcp 1011 ypserv 


100009 工 udp 1012 yppasswdd 
# 其 他 不 相干 的 RPC 乌 避 将 它 拿 控 了 ， 与 NIS 有 关 的 至 少 要 有 上 面 这 几 个 | 要 仔细 看 ， 
# 看 看 埠 口 是 否 为 我 们 规定 的 1011，14012 ， 若 不 是 的 话 ， 得 要 修改 一 下 配置 文件 。 


[root@www ~]# rpcinfo -u localhost ypserv 
program 100004 version 1 ready and waiting 
program 100004 version 2 ready and waiting 


很 多 时 候 ， 很 多 朋友 在 设 定 完 NIS 后 又 回去 设 定 NFS 了 ， 结 果 看 了 前 一 章 的 介绍 ， 竟 然 又 重 
新 启动 rpcbind ， 这 将 导致 ypserv 的 注册 数据 被 注销 掉 。 因 此 ， 使 用 上 述 的 动作 来 检查 看 看 
服务 有 没有 在 等 待 中 ， 要 看 到 如 上 的 下 就绪 并 等 待 服务 4 才 会 是 正常 的 哆 ! 


e 5. 处 理 账 号 并 建立 数据 库 


在 完成 了 上 面 的 所 有 步骤 后 ， 接 下 来 我 们 得 要 开始 将 主机 上 面 的 账号 档案 转 成 数据 库 档 案 

啦 上 | 不 过 ， 因 为 担心 与 NIS 客户 端的 账号 有 冲突 ， 加 上 之 前 我 们 已 经 建立 过 一 些 账号 了 。 所 
以 ， 这 里 我 们 建立 三 个 新 帐号， 分 别 是 nisuser1, nisuser2, nisuser3 。 不 过 账号 主要 是 依据 
UID 来 判断 的 啊 ! 因此， 我 们 使 用 大 于 1000 的 UID 来 建立 这 三 个 账号 喔 ! 


[root@www ~]# useradd -u 1001 nisuser1 
[root@www ~]# useradd -u 1002 nisuser2 
[root@www ~]# useradd -u 1003 nisuser3 
[root@www ~]# echo password &#124; passwd --stdin nisuser1 
[root@www ~]# echo password &#124; passwd --stdin nisuser2 
[root@www ~]# echo password &#124; passwd --stdin nisuser3 


接 下 来 ， 将 建立 的 帐 密 数 据 转 成 数据 库 吧 | 转换 的 动作 直接 透 过 /usr/lib64/yp/ypinit 这 个 指令 
来 处 理 即 可 ! 整个 步骤 是 这 样 做 的 : 


[root@www ~]# /usr/l1ib64/yp/ypinit -m 


At this point, we have to construct a list of the hosts which will run NIS 
servers. www.centos.vbird is in the list of NIS server hosts. Please continue 
to add the names for the other hosts, one per line. When you are done with the 
list, type a &lt;control D&gt;. 

next host to add: www.centos.vbird &]t;== 系 统 根据 主机 名 自动 提取 

next host to add: &1t ;== 这 个 地 方 按 下 [crt1]-d 
The current list of NIS servers looks like this: 


www.centos.vbird 


Is this correct? [y/n: y] y 

We need a few minutes to build the databases... 
Building /var/yp/vbirdnis/ypservers... 

Running /var/yp/Makefile... 

gmake[1]: Entering directory ‘/var/yp/vbirdnis' 
Updating passwd.byname... 

Updating passwd.byuid... 

有 


gmake[1]: Leaving directory ‘/var/yp/vbirdnis' 
www.centos.vbird has been set up as a NIS master server. 


Now you can run ypinit -s www.centos.vbird on all slave server. 


要 注意 出 现 的 信息 当中 ， 在 告知 你 可 以 直接 输入 [ctrlj-d 以 结束 的 那个 地 方 ， 你 的 主机 名 会 主 
动 的 被 捉 出来， 注意 ! 这 个 主机 名 务必 需要 在 /etc/hosts 可 以 被 找到 IP 的 对 应 ， 否 则 会 出 现 
问题 。 另 外 ， 万 一 在 执行 ypinit -m 时 ， 出 现 如 下 的 错误 ， 那 肯定 就 是 有 些 数 据 没有 被 建立 
当中 


gmake[1]: *** No rule to make target ‘/etc/aliases', needed by ‘mail.aliases'. Stop. 
gmake[1]: Leaving directory ‘/var/yp/vbirdnis' 

make: *** [target] Error 2 

Error running Makefile. 

Please try it by hand. 


[root@www ~]# touch /etc/aliases 
# 解决 方法 很 简单 响 ! 缺少 什么 档案 ， 就 touch 他 就 是 了 ! 


[root@www ~]# /usr/lib64/yp/ypinit -m 
# 然后 再 重新 执行 一 次 即 可 ! 


如 果 是 如 下 的 错误 ， 那 可 能 是 因为 : 


e。 你 的 ypserv 服务 没有 顺利 启动 ， 请 利用 rpcinfo 检查 看 看 ; 
你 的 主机 名 与 IP 没有 对 应 好 ， 请 检查 /etc/hosts 


gmake[1]: Entering directory /var/yp/vbirdnis' 

Updating passwd.byname... 

failed to send 'clear' to local ypserv: RPC: Program not registeredUpdating passwd.byuid. 
failed to send 'clear' to local ypserv: RPC: Program not registeredUpdating group.byname. 
..,. (底下 省 略 ).... 


一 = 





要 注意 啊 ， 如 果 你 的 用 户 密 码 有 变动 过 ， 那 么 你 就 得 要 重新 制作 数据 库 ， 重 新 启动 ypserv 及 
yppasswdd 喔 ! 注意 注意 啊 ! 整个 NIS 服务 器 这 样 就 给 搞定 了 ， 有 没有 很 简单 啊 ! 


14.2.5 防火 墙 设置 


又 来 到 了 防火 墙 的 规划 了 | 要 注意 的 是 ， 我 们 的 NIS 与 NFS 都 是 使 用 RPC Server 的 ， 所 以 
嘿 ， 除 了 上 述 谈 到 的 固定 埠 口 之 外 ， 你 还 得 要 开放 port 111 才 行 。 假 设 你 已 经 看 过 前 一 章 ， 
而 且 是 使 用 乌 哥 的 iptables.rule 脚本 来 处 理 你 的 防火 墙 ， 那 么 你 可 以 修改 该 档案 的 内 容 ， 新 
增 几 条 规则 去 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -p tcp -s 192.168.100.0/24 --dport 1011 -j ACCEPT 
iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 

--dport 1011,1012 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 
# 千 万 记得 要 重新 建 置 防火 墙 规则 啊 ! 


14.3 NIS Client 端的 设 定 


我 们 知道 网 络 联 机 是 双向 的 ， 所 以 NIS server 提供 数据 库 档 案 ，NIS client 当然 也 需要 提供 一 
些 联机 的 软件 哆 1 这 个 联机 的 软件 就 是 ypbind 啦 ! 此 外 ， 如 同 图 14.1-1 的 介绍 ， 在 NIS 
client 端 有 登入 需求 时 ，NIS client 基本 上 还 是 先 搜 寻 自 己 的 /etc/passwd, /etc/group 等 数据 
后 才 再 去 找 NIS server 的 数据 库 啊 1 所 以 NIS client 最 好 能 够 将 本 身 的 账号 密码 删除 到 仅 剩 
下 系统 账号 ， 亦 即 UID, GID 均 小 于 500 以 下 的 账号 即 可 ， 如 此 一 来 既 可 让 系统 执行 无 误 ， 
也 能 够 让 登入 者 的 信息 完全 来 自 NIS server ， 比 较 单 纯 啦 ! 


Tips: 事实 上 ， 你 想 要 让 NIS 服务 器 写 入 的 各 项 账号 数据 都 在 NIS server 的 /var/yp/Makefile 
那个 档案 设 定 的 1 你 可 以 进入 该 档案 搜寻 一 下 UID 就 知道 了 ! ^ 人 和 ^ 


14.3.1 NIS client 所 需 软 件 与 软件 结构 
NIS client 端 所 需要 的 软件 仅 有 : 


。 ypbind 
e yp-tools 


yp-tools 是 提供 查询 的 软件 ， 至 于 ypbind 则 是 与 ypserv 互相 沟通 的 客户 端 联机 软件 啦 ! 另 
外 ， 在 CentOS 当中 我 们 还 有 很 多 配置 文件 是 与 认证 有 关 的 ， 包 含 ypbind 的 配置 文件 时 ， 在 
设 定 NIS client 你 可 能 需要 动 到 底下 的 档案 : 


。 /etc/sysconfig/network : 就 是 NIS 的 领域 名 嘛 ! 

。 /etc/hosts : 至 少 需要 有 各 个 NIS 服务 器 的 IP 与 主机 名 对 应 ; 

e /etc/yp.conf : 这 个 则 是 ypbind 的 主要 配置 文件 ， 里 面 主 要 设 定 NIS 服务 器 所 在 
/etc/sysconfig/authconfig : 规范 账号 登入 时 的 允许 认证 机 制 ; 

/etc/pam.d/system-auth : 这 个 最 容易 忘记 | 因为 账号 通常 由 PAM 模块 所 管理 ， 所 以 你 
必须 要 在 PAM 模块 内 加 入 NIS 的 支持 才 行 ! 

/etc/nsswitch.conf : 这 个 档案 可 以 规范 账号 密码 与 相关 信息 的 查询 顺序 ， 上 默认 是 先 找 
/etc/passwd 再 找 NIS 数据 库 ; 


另外 ，NIS 还 提供 了 几 个 有 趣 的 程序 给 NIS 客户 端 来 进行 账号 相关 参数 的 修改 ， 例 如 密码 、 
shell 等 等 ， 主要 有 底下 这 几 个 指令 : 


。 /usr/bin/yppasswd : 更 改 你 在 NIS database (NIS Server 所 制作 的 数据 库 ) 的 密码 


e /usr/bin/ypchsh : 同上 ， 但 是 是 更 改 shell 
e。 /usrbin/ypchfn : 同上 ， 但 是 是 更 改 一 些 用 户 的 讯息 ! 


OK ! 那么 底下 就 让 我 们 开始 来 设 定 NIS 客户 端 吧 1 和 ^ 人 和 ^ 


14.3.2 NIS client 的 设 定 与 启动 


启动 NIS client 的 设 定 就 简单 多 了 ! 最 主要 是 加 入 NIS domain 当中 ， 然 后 再 启动 ypbind 即 
可 。 虽然 你 可 以 手动 去 修改 所 有 的 配置 文件 ， 然 而 近期 以 来 的 Linux distributions 账号 处 理 机 
制 越 来 越 复杂 ， 所 以 如 果 你 想 要 手动 修改 所 有 配置 文件 ， 恐 怕 会 疯 掉 的 ~ 因此， 这 里 建议 你 
使 用 系统 提供 的 工具 来 设 定 ， 至 于 一 些 重要 配置 文件 ， 最 后 有 机 会 再 去 参考 一 下 即 可 。 


那么 CentOS 6.x 提供 了 什么 好 用 的 管理 工具 呢 ? 很 简单 ， 就 利用 setup 这 个 指令 即 可 ! 输入 
setup 就 会 出 现 如 下 的 图 示 ， 然 后 依 序 这 么 处 理 就 好 了 哆 ! 





中 root@clientliinux:~ [66x17] 加 加 | 了 4 


连 特 (C 编辑 二 检视 吧 视窗 站 项 局) 说 明王) 
Text Mode Setup Utility 1.19,9 
Choose a Tool 


Firewall conf 
Rb rd configuration 
Network configuration 


System services 





| Use <Enter> to edit a | 图 14.3-1、 利 用 setup 
进入 authconfig 认证 项 目 


记得 在 出 现 上 图 14.3-1 后 ， 选 择 认证 设 定 ， 如 果 是 出 现 英 文 的 话 ， 那 么 你 就 得 要 选择 
『Authentication er 的 项 目 ， 之 后 就 会 进入 下 面 的 画面 : 





中 root@clientlinux:~ | ~| 口 | x| 


连 线 忆 ) 编辑 巴 ) 核 视 他 ) ”视窗 QD 选项 所) 讲 明 思 ) 


User _ Information ED 
] Cache Into rmatlon Use )D> 


[se ee Authentic at1on 
1 al authorization is sufficient 






到 | 图 14.3-2、 进 入 
authconfig 之 后 ， 选 择 NIS 项 目 


因为 我 们 要 用 NIS 作为 登入 者 身份 验证 的 机 制 ， 因 此 就 得 要 选择 NIS 项 目 ， 如 果 是 英文 的 
话 ， 得 要 选择 『Use NISJ 项 目 即 可 。 





中 root@clientlinux:~ [66x17] -ID| x| 


连 禾 忆 ) 编辑 下 ) 检视 把 有 选项 0 讲 明 十 ) 


authconfiz-tul - (CY 1999-2005 = 2 lotr 


Domain: HAITIE 
SEIVYEI: 6 


<Tab;>/<B1t-Tab;> betwee <Rpace> Selects pe ”| 图 14.3-3、 填 写 NIS 
领域 以 及 NIS 服务 器 的 IP 即 可 
最 后 再 卉 写 NIS 网 域 (Domain) 以 及 NIS 服务 器 的 IP (Server)， 按 下 确定 即 可 。 如 果 系 统 很 


快 的 就 跳 回 图 14.3-1 的 画面 ， 代 表 你 的 设 定 理论 上 是 没有 问题 的 。 如 果 一 直 卡 在 如 下 的 画面 
中 : 


正在 激活 rpcbind : [ 确定 ] 
正在 关闭 NIS 服务 : [ 确定 ] 
正在 启动 NIS 服务 : [ 确定 ] 
正在 绑 定 NIS 服务 : ....,.， &1t ;== 这 里 一 直 卡 住 ， 没 办 法 结束 


上 述 的 数据 就 是 出 问题 啦 ! 那 代表 你 的 NIS client 没有 办 法 连接 上 NIS server， 最 常 发 生 的 就 
是 服务 器 的 防火 墙 忘记 放行 ， 或 者 是 你 ee at IP 时 ， 打 错 数 字 了 ~ 那 也 是 很 常 发 
生 的 错误 啦 ! 这 时 请 自行 去 修改 一 番 吧 ! 那么 这 个 setup 到 底 做 了 什么 修改 呢 ? 我 们 也 来 看 
看 几 个 被 改 掉 的 重要 配置 文件 吧 : 


[root@clientlinux ~]# cat /etc/sysconfig/network 
HOSTNAME=clientlinux.centos.vbird 


NETWORKING=yes 


GATEWAY=192.168.100.254 


NISDOMAIN=vbirdnis 


&1t ; == 这 个 玩意 儿 会 主动 的 被 建立 起 来 


~]# cat /etc/yp.conf 


domain vbirdnis server 192.168.100.254 &1lt;== 主 动 建 立 这 玩意 儿 ~ 


[root@clientlinux 
,. . . (前面 省 略 ) ,，, ， 
[root@clientlinux 
passwd: files 
shadow: files 
group: files 
hosts: files 


~]# vim /etc/nsswitch.conf 
nis 

nis 

nis 

nis dns 


# 上 面 几 个 项 目 是 比较 重要 的 ， 包 括 身 份 参数 、 密 码 、 群 组 名 、 主 机 名 与 IP 对 应 数据 等 。 
# 你 会 看 到 ， 每 个 项 目 后 面 都 会 接着 nis ， 所 以 nis 有 被 支持 哆 ! 


因为 更 动 到 的 档案 实在 太 多 了 ， 所 以 鸟 哥 还 是 建议 使 用 setup 来 调整 即 可 。 但 是 ， 如 果 你 


Ec 


的 想 要 手动 处 理 的 话 ， 那 么 你 必须 要 手动 的 修改 底下 这 些 档案 : 


e /etc/sysconfig/network (加 入 NISDOMAIN 项 目 ) 


/etc/nsswitch.conf (修改 许多 主机 验证 功能 的 顺序 ) 
/etc/sysconfig/authconfig (CentOS 的 认证 机 制 ) 
/etc/pam.d/system-auth (许多 登入 所 需要 的 PAM 认证 过 程 ) 
/etc/yp.conf ( 亦 即 是 ypbind 的 配置 文件 ) 


14.3.3 NIS client 端的 检验 : yptest, ypwhich, ypcat 


如 何 确定 NIS client 


已 经 连 上 NIS server 呢 ? 基 本 上 ， 只 要 刚刚 使 用 setup 去 设 定时 ， 最 后 


的 步骤 并 没有 被 卡 住 ， 那 应 该 就 是 顺利 成 功 啦 ! 该 步骤 会 自动 启动 rpcbind 与 ypbind 两 个 服 
务 哆 ! 那 如 何 确认 数据 传送 是 正确 的 ? 简单 的 要 命 啊 ! 你 可 以 利用 id 这 个 指令 直接 检查 NIS 
server 有 的 ， 但 是 NIS client 没有 的 账号 ， 如 果 有 出 现 该 账号 的 相关 UID/GID 信息 时 ， 那 表 
示 数 据 传输 也 是 正确 的 。 除 此 之 外 ， 我 们 还 可 以 透 过 NIS 提供 的 相关 检验 功能 来 检查 喔 | 底 


下 分 别 来 瞧 一 瞧 : 


。 利用 yptest 检验 数据 库 之 测试 : 


直接 在 NIS client 输入 yptest 即 可 检查 相关 的 测试 数据 ， 如 下 所 示 : 


[root@clientlinux ~]# yptest 
Test 1: domainname 
Configured domainname is "vbirdnis" 


Test 2: ypbind 
Used NIS server: www.centos.vbird 


Test 3: yp_match 
WARNING: No such key in map (Map passwd.byname, key nobody) 
(a 


Test 6: yp_master 
www.centos.vbird 


“(中间 省 叶 


Test 8: yp_maplist 
passwd.byname 
protocols.byname 
hosts.byaddr 
hosts.byname 


Ne 


Test 9: yp_all 

nisuser1 nisuser1:$1$U9Gccb60$K51DQ .mGBw9x40NEkMOLz/:1001:1001::/home/nisuser1i:/bin/bash 
“中间 省 咯 ) 

1 tests failed 


图 


从 这 个 测试 当中 我 们 可 以 发 现 一 些 错误 ， 就 是 在 Test 3 出 现 的 那个 警告 信息 啦 。 还 好 ， 那 只 
是 说 没有 该 数据 库 而 已 ~ 该 错误 是 可 以 忽略 的 。 重 点 在 第 9 个 步骤 yp_all 必须 要 有 列 出 你 
NIS server 上 头 的 所 有 帐户 信息 ， 如 果 有 出 现 账号 相关 数据 的 话 ， 那 么 应 该 就 算 验 证 成 功 

了 |! 





蜂 ，| 


Tips: 比较 有 问题 的 是 第 三 步骤 ， 他 会 出 现在 passwd.byname 当中 找 不 到 nobody 的 字样 。 
这 是 因为 早期 的 nobody 之 UID 都 设 定 在 65534 ， 但 CentOS 则 将 nobody 设 定 为 系统 账号 
的 99 ， 所 以 当然 不 会 被 记录 ， 也 就 出 现 这 一 个 敬告。 不过， 这 个 错误 是 可 忽略 的 只 ! 





e 利用 ypwhich 检验 数据 库 数 量 


单纯 使 用 ypwhich 的 时 候 显示 的 是 『NIS Client 的 domainJd 名 称 ， 而 当 加 入 -Xx 这 个 参数 时 ， 
则 是 显示 『NIS Client 与 Server 之 问 沟通 的 数据 库 有 哪些 ?4」 你 可 以 这 样 测试 哩 ! 


[root@clientlinux ~]# ypwhich -x 


Use "hosts" for map "hosts.byname" 
Use "group" for map "group.byname" 
Use "passwd" for map "passwd.byname" 


“下 省 时 ) 


由 上 面 我 们 可 以 很 清楚 的 就 看 到 相关 的 档案 啦 ! 这 些 数据 库 档案 则 是 放置 在 我 的 NIS Server 
的 /var/yp/vbirdnis/* 里 面 嘿 ! 


e。 利用 ypcat 读 取 数 据 库 内 容 
除了 yptest 之 外 ， 你 还 可 以 直接 利用 ypcat 读 取 数 据 库 的 内 容 喔 ! 一 般 作 法 是 这 样 : 


[root@clientlinux ~]# ypcat [-h nisserver] [数据 库 名 称 ] 
选项 与 参数 : 
-h nisserver : 如 果 有 设 定 的 话 ， 指 向 某 一 部 特定 的 NIS 服务 器 ， 
如 果 没有 指定 的 话 ， 就 以 ypbind 之 设 定 为 主 ; 
数据 库 名 称 : 亦 即 在 /var/yp/vbirdnis/ 内 的 档 名 啊 ! 例如 passwd.byname 


# 读 出 passwd.byname 的 数据 库 内 容 
[root@clientlinux ~]# ypcat passwd.byname 


这 三 个 指令 在 进行 NIS Client 端的 检验 时 ， 是 相当 有 用 的 喔 ! 不 要 忽略 了 他 的 存在 啊 | 尤其 
是 刚 架 设 好 NIS Client 时 ， 一 定 要 使 用 yptest 去 检查 看 看 有 没有 设 定 错误 喔 ! 根据 屏幕 显示 
的 讯息 去 一 个 一 个 校正 错误 才 行 啊 ! 


14.3.4 使 用 者 参数 修改 : yppasswd, ypchfn, ypchsh 


好 了 ， 完 成 了 上 述 的 设 定 后 ， 你 的 NIS server/client 的 账号 已 经 同步 了 ! 上 趴 是 高 兴 不 是 吗 ? 
不 过 ， 还 有 个 挺 大 的 问题 ， 那 就 是 ... 使 用 者 如 何在 NIS client 修改 他 自己 的 登入 和 参数， 例如 密 


处 理 账号 密码 的 订正 ? 


问 的 好 |! 这 也 是 为 何 我 们 需要 在 NIS server 启动 yppasswdd 这 支 服务 的 主要 用 意 上 因为 
yppasswdd 可 以 接收 NIS client 端 传 来 的 密码 修改 ， 藉 此 而 处 理 NIS server 的 /etc/passwd,， 
/etc/shadow ， 然 后 yppasswdd 还 能 够 重建 密码 数据 库 ， 让 NIS server 同步 更 新 数据 库 ! 站 
是 很 不 错 啊 1 A A 


那 该 如 何 下 达 指 令 呢 ?很 简单 啊 ! 透 过 yppasswd, ypchsh, ypchfn 来 处 理 即 可 。 这 三 个 指令 
的 对 应 是 : 


。 yppasswd : 与 passwd 指令 相同 功能 ; 
e ypchfn :与 chfn 相同 功能 ; 
。 ypchsh : 与 chsh 相同 功能 。 


因为 功能 相当 ， 所 以 鸟 哥 这 里 仅 说 明 一 下 yppasswd 而 已 。 假 设 你 已 经 登入 NIS client 那 部 主 
机 ， 并 且 是 以 nisuser1 这 个 使 用 者 登入 的 ， 记 住 ， 这 个 用 户 相 关 数 据 仅 在 NIS server 上 。 
接 下 来 ， 这 个 使 用 者 可 以 下 达 yppasswd ， 如 下 所 示 : 


[root@clientlinux ~]# grep nisuser /etc/passwd  &1lLt;== 不 会 出 现任 何 讯 息 ， 因 为 无 此 账号 
[root@clientlinux ~]# su - nisuser1 &1t ; == 直接 切换 身份 看 看 ! 

su: warning: cannot change directory to /home/nisuser1: No such file or directory 
-bash-4.1$ id 

uid=1001(nisuser1) gid=1001(nisuser1) groups=1001(nisuser1) 

# 因为 我 们 client.centos.vbird 仅 有 帐户 信息 ， 并 没有 用 户 家 目录 ， 

# 所 以 就 会 出 现 如 上 的 警告 ， 因 此 才 需 要 用 id 验证 ， 并 且 需 要 加 挂 NFS 嘛 1! 

# 仔细 看 ， 现 在 的 身份 确实 是 nisuser1 喔 1 确实 有 连 上 NIS server 啦 ! 


-bash-4.1$ yppasswd 
Changing NIS account information for nisuser1 on www.centos.vbird. 


Please enter old password : &1t ;== 这 里 输入 旧 密 码 
Changing NIS password for nisuser1 on www.centos.vbird. 
Please enter new password : &1lLt;== 这 里 输入 新 密码 

Please retype new password:  &lLt;== 再 输入 一 遍 


The NIS password has been changed on www.centos .vbird ， 


-bash-4.1$ exit 


嘿嘿 1 如 何 ， 这 样 就 更 新 了 NIS server 上 头 的 /etc/shadow 以 及 /var/yp/vbirdnis/passwd.by* 
的 数据 库 ， 简 单 吧 ! 一 下 子 就 同步 化 了 。 不 过 ， 如 果 要 教育 使 用 者 使 用 yppasswd 的 话 ， 他 
可 能 不 太 能 适应 ， 不 要 紧 ， 你 可 以 透 过 修改 alias 或 者 是 置换 掉 /usrbin/passwd 这 支 程序 即 
可 ! 那 现在 让 我 们 回 到 NIS 服务 器 端 看 看 丨 的 有 更 动 到 数据 库 吗 ? 


[root@www ~]# 11 /var/yp/vbirdnis/ 


-rw------- . 1 root root 13836 Jul 28 13:10 netid.byname 
-rw------- . 1 root root 14562 Jul 28 13:29 passwd.byname 
-rw------- . 1 root root 14490 Jul 28 13:29 passwd.byuid 
-rw------- 1 root root 28950 Jul 28 13:10 protocols.byname 


# 仔细 看 ， 就 是 那个 密码 档案 被 更 动 过 ~ 时 间 已 经 不 一 样 了 ! 再 看 看 登录 档 吧 ! 
[root@www ~]# tail /var/log/messages 


JUL 28 13:29:14 www rpc.yppasswdd[1707]: update nisuser1 (uid=1001) from host 
192.168.100.10 successful. 


最 终 从 登录 档 里 面 ， 我 们 也 能 够 得 到 相关 的 记录 ! 这 样 就 非常 完美 啦 | ^ 人 和 ^ 


14.4 NIS 搭配 NFS 的 设 定 在 丛 集 计 算 机 上 的 应 用 


刚刚 在 NIS 客户 端的 nisuser1 登入 测试 中 ， 你 应 该 已 经 发 现 了 一 件 事 ， 那 就 是 怎么 nisuser1 
没有 家 目录 啊 ? 这 很 正常 啊 | 因为 nisuser1 的 家 目录 是 在 服务 器 端的 /home 上 头 ， 而 你 在 客 
户 端 登入 时 ， 在 客户 端的 /home 底下 根本 不 可 能 有 nisuser1 的 家 目录 蚊 ! 那 怎 办 ?很 简 
单 ， 将 服务 器 端的 /home 挂 载 到 客户 端 上 面 即 可 啊 ! 那 这 个 观念 跟从 集 计 算 机 有 哈 关 系 啊 ? 
就 让 我 们 来 谈 谈 吧 ! 


。 什么 是 从 集 计 算 机 ? 


因为 个 人 计算 机 的 CPU 速度 越 来 越 快 ， 核 心 数目 越 来 越 多 ， 因 此 个 人 计算 机 的 效能 已 经 不 比 
服务 器 等 级 的 大 型 计算 机 差 了 | 不 过 ， 如 果 要 用 来 作为 计算 大 型 数值 模式 的 应 用 ， 即 使 是 最 
快 的 个 人 计算 机 ， 还 是 没有 办 法 有 效 的 负荷 的 。 此 时 你 可 能 就 得 要 考虑 一 下 ， 是 要 买 超 级 计 
算 机 (Top 500) 还 是 要 自己 组 一 部 PC 丛 集 计算 机 (PC cluster)。 


超级 计算 机 的 结构 中 ， 主 要 是 透 过 内 部 电路 将 好 多 颗 CPU 与 内 存 连 接 在 一 块 ， 因 为 是 特殊 设 
计 ， 因 此 价格 非常 昂贵 。 如 果 我 们 可 以 将 较 便 宜 的 个 人 计算 机 串 接 在 一 块 ， 然 后 将 数值 运算 
的 任务 分 别 丢 给 每 一 部 串 接 在 一 块 的 个 人 计算 机 ， 那 不 就 很 像 超 级 计算 机 了 吗 ? 没 错 ! 这 就 
是 PC cluster 最 早 的 想法 。 


但 是 这 个 作法 当中 有 几 个 限制 吗 ， 因 为 每 部 计算 机 都 需要 运算 相同 的 程序 ， 而 我 们 知道 运算 
的 数据 都 在 内 存 当 中 ， 而 程序 启动 时 需要 给 予 一 个 身份 ， 而 程序 读 取 的 程序 在 每 部 计算 机 上 
面 都 需要 是 相同 的 ! 同时 ， 每 部 计算 机 都 需要 支持 平行 化 运算 ! 所 以 ， 在 PC cluster 上 面 的 
所 有 计算 机 就 得 要 有 : 


e。 相同 的 用 户 帐 户 信息 ， 包 括 账 号 、 密 码 、 家 目录 等 等 一 大 堆 信息 ; 
e。 相同 的 文件 系统 ， 例 如 /home, /var/spool/mail 以 及 数值 程序 放置 的 位 置 
e@ 可 以 搭配 的 平行 化 函 式 库 ， 常 见 的 有 MPICH, PVM... 


上 面 的 三 个 项 目 中 ， 第 一 个 项 目 我 们 可 以 透 过 NIS 来 处 理 ， 第 二 个 项 目 则 可 以 使 用 NFS 来 搞 
定 一 所 以 嚼 ， 你 说 ，NIS 与 NFS 有 没有 可 使 用 的 空间 啊 ? ^A ^ 


Tips: 由 于 『 预 测 」 这 个 玩意 儿 越 来 越 重 要 ， 比 如 说 气象 预报 、 空 气质 量 预报 等 等 ， 而 预测 需 
要 一 个 很 庞大 的 模式 来 进行 仿 丨 的 工作 ， 这 么 斋 大 的 模拟 工作 需要 大 量 的 运算 ， 在 学 校 单位 
要 买 一 部 很 贵 的 大 型 主机 实在 很 不 容易 ! 不 过 ， 如 果 能 够 囊 接 十 部 四 核心 的 个 人 计算 机 的 
话 ， 那 么 可 能 只 需要 不 到 20 万 便 能 够 组 成 相当 于 具有 40 颗 CPU 的 大 型 主机 的 运算 能 

了 ! 所 以 说 ， 在 未 来 PC cluster 是 一 个 可 以 发 展 的 课题 哩 ! 


。 另 一 个 不 成 材 的 实例 


那 我 们 有 没有 办 法 来 实 作 一 下 平行 化 的 从 集 架 构 呢 ?老实 说 ， 很 麻烦 一 不 过 ， 至 少 我 们 可 以 
先 完成 前 面谈 到 的 两 个 组 件 ! 分 别 是 NIS 与 NFS 嘛 ! 但 是 ， 在 我 们 目前 这 个 网 络 环境 中 ， 

用 户 账 号 实在 是 太 紊乱 了 一 所 以 ， 如 果 想 要 将 服务 器 的 /home 挂 载 到 客户 端的 /home， 那 么 
那个 测试 用 的 客户 端 可 能 很 多 本 地 用 户 都 无 法 登入 了 一 因此 ， 在 这 个 测试 练习 中 ， 我 们 打算 
这 样 做 : 


e。 账号 : 建立 大 于 2000 以 上 的 账号 ， 账 号 名 称 为 cluser1, cluser2, cluser3 (将 cluster user 
缩写 为 cluser， 不 是 少 写 一 个 t 喔 1)， 且 这 些 账 号 的 家 目录 预计 放置 于 /rhome 目录 内 ， 
以 与 NIS client 本 地 的 用 户 分 开 ; 

e。 NIS 服务 器 : 领域 名 为 vbirdcluster， 服 务 器 是 www.centos.vbird (192.168.100.254)， 客 
户 端 是 clientlinux.centos.vbird (192.168.100.10) ; 

e。 NFS 服务 器 : 服务 器 分 享 了 /rhome 给 192.168.100.0/24 这 个 网 域 ， 且 预计 将 所 有 程序 
放置 于 /cluster 目录 中 。 此 外 ， 假 设 所 有 客户 端 都 是 很 干净 的 系统 ， 因 此 不 需要 压缩 客 
户 端 root 的 身份 。 

。 NFS 客户 端 : 将 来 自 server 的 文件 系统 都 挂 载 到 相同 目录 名 称 底下 |! 


那 就 分 别 来 实 作 一 下 哆 ! 
。 NIS 实 作 阶段 


# 1\， 建立 此 次 任务 所 需要 的 账号 数据 : 

[root@www ~]# mkdir /rhome 

[root@www ~]# useradd -u 2001 -d /rhome/cluser1 cluser1 
[root@www ~]# useradd -uyu 2002 -d /rhome/cluser2 cluser2 
[root@www ~]# useradd -u 2003 -d /rhome/cluser3 cluser3 
[root@www ~]# echo password &#124; passwd --stdin cluser1 
[root@www ~]# echo password &#124; passwd --stdin cluser2 
[root@www ~]# echo password &#124; passwd --stdin cluser3 


# 2\， 修改 NISDOMAIN 的 名 称 
[root@www ~]# vim /etc/sysconfig/network 
NISDOMAIN=vbirdcluster  &1lt;== 重 点 在 改 这 个 项 目 喔 ! 





这 个 案例 中 ， 你 只 要 做 完 上 述 的 动作 就 即将 完成 了 ， 其 他 的 配置 文件 请 参考 前 面 14.2 节 所 谈 
到 的 各 个 必要 项 目 。 接 下 来 当然 就 是 重新 启动 ypserv 以 及 制作 数据 库 虽 ! 


# 3\， 制 作 数 据 库 以 及 重新 启动 所 需要 的 服务 : 
[root@www ~]# nisdomainname vbirdcluster 
[root@www ~]# /etc/init.d/ypserv restart 
[root@www ~]# /etc/init.d/yppasswdd restart 
[root@www ~]# /usr/l1ib64/yp/ypinit -m 


依 序 一 个 一 个 指令 下 达 ! 上 述 的 这 四 个 指令 稍微 有 相依 性 关系 的 ! 所 以 不 要 错乱 了 顺序 喔 ! 
接 下 来 ， 请 换 到 客户 端 进行 : 

1， 以 setup 进行 NIS 的 设 定 ， 在 领域 的 部 分 请 转 为 vbirdcluster 才 对 ! 

2. 做 完 后 再 以 id cluser1 确认 看 看 。 


作法 太 简 单 了 ， 乌 哥 这 里 就 不 示范 鹃 。 
e NFS 服务 器 的 设 定 


# 1\X， 设 定 NFS 服务 器 开放 的 资源 : 

[root@www ~]# mkdir /cluster 

[root@www ~]# vim /etc/exports 

/rhome 192.168.100.0/24(rw,no_root_squash) 
/cluster 192.168.100.0/24(rw,no_root_squash) 


# 2\， 重 新 启动 NFS 哆 : 

[root@www ~]# /etc/init.d/nfs restart 
[root@www ~]# showmount -e localhost 
Export list for localhost: 

/rhome 192.168.100.0/24 
/cluster 192.168.100.0/24 


服务 器 的 设 定 是 很 单纯 的 ~ 客户 端的 设 定 得 要 注意 哆 ! 


# 1\， 设 定 NIS Client 的 mount 数据 ! 

[root@clientlinux ~]# mkdir /rhome /cluster 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/rhome /rhome 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/cluster /cluster 
# 如 果 上 述 两 个 指令 没有 问题 ， 可 以 将 他 加 入 /etc/rc.d/rc.local 当中 啊 ! 


[root@clientlinux ~]# su - cluser1 
[cluseri@clientlinux ~]$ 


后 你 应 该 就 能 够 在 客户 端 以 cluser1 登入 系统 ! 就 这 么 简单 的 将 账号 与 文件 系统 同步 做 完 
- ! 如 果 你 丨 的 想 要 玩 一 下 PC Cluster 的 话 ， a 过 一 篇 不 是 很 成 熟 的 PC cluster 简 
易 架 设 ， 有 兴趣 的 话 请 自行 参考 : 


e http://linux.vbird.org/linux_server/0600cluster.php 


14.5 重点 回顾 


Network Information Service (NIS) 也 可 以 称 为 Sun Yellow Pages (yp)， 主 要 是 负责 在 网 
域 当中 帮忙 NIS Client 端 查寻 账号 与 密码 以 及 其 他 相关 网 络 参 数 的 服务 ; 

NIS server 其 实 就 是 提供 本 身 的 /etc/passwd, /etc/shadow, /etc/group, /etc/hosts 等 账号 
密码 数据 ， 以 及 相关 的 网 络 参 数 等 ， 以 提供 网 域 当中 NIS Client 的 搜寻 之 用 ; 

NIS 为 server/client 架构 ， 当 NIS client 有 账号 登入 需求 时 ， 该 主机 会 (1) 先 找 自 己 的 
/etc/passwd, (2) 再 前 往 NIS server 搜寻 相关 账号 资料 。 

NIS 使 用 的 软件 就 是 yp 这 个 软件 ， 主 要 分 为 两 部 份 ，ypserv 用 在 NIS Server， 至 于 
ypbind 与 yp-tools 则 用 在 NIS Client 上 面 。 

为 加 快 NIS 查询 的 速度 ， 因 此 NIS server 会 将 本 机 的 账号 数据 制 成 传输 较 快 的 数据 库 档 
案 ， 并 放置 于 /var/yp/(nisdomainname)/ 目录 当中 ; 

不 论 是 NIS 或 者 是 NFS 都 是 藉 由 RPC Server 所 启用 的 ， 因 此 都 可 以 使 用 rpcinfo 来 查 
寻 NIS 是 否 已 经 启动 ， 以 及 该 daemon 是 否 已 经 向 portmapper (RPC server) 注册 了 ! 
在 NIS Server 的 设 定 当 中 ， 最 重要 的 一 个 步骤 就 是 将 帐号、 密码 、 网 络 参数 等 ASCII 格 
式 档案 转 成 数据 库 档 案 (database file)， 以 提供 NIS client 的 查寻 |! 而 启动 ASCI| 转 成 
database 的 程序 可 以 使 用 /usr/lib64/yp/ypinit -m 或 者 到 /var/yp 底下 执行 make 均 可 。 
由 于 NIS 通常 使 用 于 内 部 网 域 当 中 ， 因 此 /etc/hosts 这 个 档案 的 设 定 相 当 重 要 ! 
若 想 让 使 用 者 在 任 一 部 NIS 管辖 的 主机 登入 都 可 以 使 用 同一 份 家 目录 ， 则 需 开 启 NFS 提 
供 /home 给 所 有 的 主机 挂 载 使 用 ; 


14.6 本 章 习 题 


。 请 简单 说 明 NIS server 的 功能 与 工作 流程 当 你 有 多 部 具有 相同 账号 的 Linux 主机 时 ， 即 
可 利用 NIS 所 提供 的 服务 ， 来 利用 一 部 NIS 主机 掌控 所 有 的 linux 主机 的 登入 时 所 需 查 
阅 的 账号 与 密码 验证 。 流 程 如 下 : 


1. NIS Server 将 自己 系统 内 的 /etc/passwd, /etc/group, /etc/hosts 等 制作 成 为 DBM 的 
数据 库 格式 档案 ; 
2. NIS Client 若 有 用 户 登 入 的 要 求 时 ， 会 前 往 NIS Server 搜寻 数据 库 里 面 的 数据 做 为 
验证 之 用 。 
3. 每 次 更 动 NIS Server 上 面 的 用 户 数据 时 ， 则 NIS Server 需要 重新 制作 DBM 数据 库 
档案 才 行 ! 
。 请 简单 说 明 NIS Server/client 的 架构 NIS master/client 的 特色 为 : 


1.NIS Server 的 master 先 将 自己 的 账号 、 密 码 相关 档案 制作 成 为 数据 库 档案 
(database file) ; 

2.， NIS Server 的 master 将 自己 的 数据 库 档案 传送 到 slave 上 面 ; 

3，NIS Server 的 slave 接收 来 自 『 信 任 的 NIS Server master 主机 J 的 数据 后 ， 更 新 自 
己 的 数据 库 ， 使 自己 的 数据 库 与 master 主机 的 数据 同步 ; 

4. 网 域 当中 的 所 有 NIS Client 查寻 NIS Server 时 ， 会 找寻 『 最 先 响应 的 那 一 部 NIS 主 
机 的 数据 库 内 容 ]。 

也 就 是 说 ， 架 设 slave NIS server 可 以 分 担 区 域内 NIS 的 工作 ! 


e。 NIS 启动 之 前 需要 先 启 动 那个 服务 ， 否 则 就 无 法 启动 成 功 (提示 : RPC Server) 因 为 NIS 

是 RPC Server 的 一 种 ， 所 以 必须 要 启动 rpcbind 这 个 daemon 才 行 ! 

我 的 NIS 域名 为 bird ， 另 外 ， 我 主机 的 IP 与 主机 名 为 192.168.5.1/bird.nis.org ， 请 问 

要 这 些 信息 需要 设 定 在 NIS Server 的 哪些 档案 之 内 ?域名 可 以 直接 手动 下 达 『 

nisdomainname bird 」 也 可 以 写 入 /etc/sysconfig/network 里 面 『【NISDOMAIN=birdJ ; 

IP 与 主机 名 需要 写 入 在 /etc/hosts 里 面 。 

/etc/nsswitch.conf 的 功能 为 何 ? 如 果 我 想 要 让 密码 查寻 先 本 地 的 密码 文件 ， 再 查寻 NIS 

， 需 要 如 何 设 定 ? 该 档案 的 功能 很 多 ， 在 DNS 方面 ， 可 以 用 来 决定 正 、 反 解 的 顺序 ， 至 

于 密码 则 可 以 用 来 判断 何者 为 先 ! 如 果 需 要 先 查 本 机 再 查 NIS 的 密码 时 ， 需 要 的 参数 : 

passwd: files nis shadow: files nis 

e。 如 果 我 想 要 增加 网 域 当中 一 个 新 的 账号 : newaccount， 并 且 这 个 newaccount 可 以 让 
NIS Client 查寻 到 他 的 账号 与 密码 ， 需 要 进行 哪些 步骤 ? 


1. 先 登入 NIS Server 以 useradd newaccount 以 及 passwd newaccount 来 新 增 账号 ; 
2.， 制作 密码 数据 库 : 『/usr/lib64/yp/ypinit -mJ 
3， 重 新 启动 : Tyetc/rc.d/init.d/ypserv restart ; /etc/rc.d/init.d/yppasswdd restartJ 。 


e。 实 作 范 例题 : 底下 是 我 的 网 域 参数 特征 : network/netmask:192.168.1.0/255.255.255.0 
NIS server : 192.168.1.100 (hostname: server.nis.test) NIS cient: 192.168.1.200 
(hostname: client1.nis.test) NIS domain name: nis.test 利用 上 面 的 参数 来 设 定 NIS 架 
构 ， 请 一 步 一 步 的 写 下 你 的 设 定 。 请 自行 参考 本 章节 的 内 容 设 定 


14.7 参考 数据 与 延伸 阅读 


。 Study Area 之 NIS 服务 器 架设 : http://www.study-area.org/linux/servers/linux_nfs.htm 
e NIS 官方 网 站 : http://www.linux-nis.org/ 
。 NIS HOW-TO : http:/www.linux-nis.org/nis-howto/HOWTO/index.html 


2003/05/06 : 第 一 次 完成 日 期 ! 2003/09/16 : 稍微 加 入 一 些 信 息 与 微 幅 修改 版 面 ! 
2006/09/22 : 将 昌 的 文章 移动 到 此 处 2006/10/11 : 啊 ! 过 了 好 久 了 ! 修改 过 程 当中 历经 搬 
家 ， 所 以 文章 产生 较 慢 啊 ! 这 次 多 加 入 NIS slave server 说 ! 2011/03/13 : 将 四 的 基于 
CentOS 4.x 的 版 本 移动 到 此 处 2011/03/16 : 因为 NIS 快要 被 LDAP 取代 ， 所 以 将 比较 复杂 
的 slave 部 分 删 去 了 ~ 2011/07/28 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 加 入 
/etc/idmapd.conf 的 相关 domain 功能 ! 要 讲 要 讲 ! 重要 重要 | 


第 十 五 草 、 时 间 服 务 器 : NTP 服务 器 


最 近 更 新 日 期 : 2011/07/29 


计算 机 内 部 所 记录 的 时 钟 是 记载 于 BIOS (CMOS) 内 的 ， 但 如 果 你 的 计算 机 上 面 的 电池 没 电 
了 ， 或 者 是 某 些 特殊 因素 导致 BIOS 数据 被 清除 ， 此 时 计算 机 的 时 间 就 会 不 准 。 同 时 ， 某 些 
操作 系统 程序 的 问题 ， 也 可 能 导致 我 们 看 到 的 时 间 与 现实 社会 不 相同 的 情况 。 所 以 我 们 都 会 
调整 一 下 时 间 ， 好 让 计算 机 系统 的 时 间 可 以 一 直 保 持 正 确 的 状态 。 在 实际 生活 中 ， 我 们 可 以 
透 过 电视 台 、 广 播 电 台 、 电 话 等 等 来 调整 我 们 的 手表 ， 那 么 如 果 是 在 网 络 上 呢 ? 该 如 何 让 我 
们 的 主机 随时 保持 正确 的 时 间 信息 ? 这 就 需要 NTP 这 个 服务 器 喝 。 


。 15.1 关于 时 区 与 网 络 校 时 的 通讯 协议 


oO 


oO 


oO 


oO 


oO 


15.1.1 什么 是 时 区 ? 全 球 有 多 少时 区 ? GMT 在 那个 时 区 ? 
15.1.2 什么 是 夏季 节约 时 间 (daylight savings)? 

15.1.3 Coordinated Universal Time (UTC) 与 系统 时 间 的 误差 
15.1.4 NTP 通讯 协议 

15.1.5 NTP 服务 器 的 阶层 概念 


e 15.2 NTP 服务 器 的 安装 与 设 定 


oO 


oO 


oO 


oO 


15.2.1 所 需 软 件 与 软件 结构 

15.2.2 主要 配置 文件 ntp.conf 的 处 理 
15.2.3 NTP 的 启动 与 观察 : ntpstat, ntpq 
15.2.4 安全 性 设 定 


e 15.3 客户 端的 时 间 更 新 方式 


oO 


(©) 


oO 


15.3.1 Linux 手动 校 时 工作 : date, hwclock 
15.3.2 Linux 的 网 络 校 时 : ntpdate 
15.3.3 Windows 的 网 络 校 时 


。 15.4 重点 回顾 
e 15.5 课 后 练习 
。 15.6 参考 数据 
e。 15.7 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=117976 


15.1 关于 时 区 与 网 络 校 时 的 通讯 协议 


时 间 对 于 现代 人 来 说 是 很 重要 的 ， 因 为 『 Time is money 3」。 既然 时 间 如 此 重要 ， 对 于 因 特 
网 来 说 应 该 也 是 很 重要 吧 ? 为 什么 呢 ? 还 记得 我 们 在 基础 学 习 篇 第 三 版 第 十 九 章 、 登 录 档 分 
析 吧 ? 如 果 你 架设 了 一 个 登录 档 服务 器 的 话 ， 那 么 总 得 要 分 析 每 个 主机 所 传 来 的 登录 文件 信 
息 吧 ?了 如 果 每 一 部 主机 的 时 间 都 不 相同 ， 那 如 何 判断 问题 发 生 的 时 间 点 ?所 以 嚼 ，[ 每 一 部 
主机 的 时 间 同 步 化 」 就 很 重要 了 。 


每 一 部 主机 时 间 同 步 化 的 重要 性 当然 不 只 如 此 ， 包 括 之 前 谈 到 的 DHCP 客户 端 /服务 器 端 所 需 
要 的 租约 时 间 限 制 、 网 络 侦 测 时 所 需要 注意 的 时 间 点 、 刚 刚 谈 到 的 登录 文件 分 析 功 能 、 具 有 
相关 性 的 主机 彼此 之 间 的 错误 侦 测 、 前 一 章 谈 到 的 从 集 计算 机 群 等 等 ， 都 需要 具有 相同 的 时 
间 才 能 够 提出 问题 呢 。 好 了 ， 底 下 咱们 就 来 聊 一 聊 ， 如 何 利 用 网 络 来 进行 主机 的 时 间 同 步 化 
吧 | 


15.1.1 什么 是 时 区 ? 全 球 有 多 少时 区 ? GMT 在 那个 时 区 ? 


因为 地 球 是 圆 的 ， 所 以 同一 个 时 刻 ， 在 地 球 的 一 边 是 白天 ， 一 边 是 黑夜 。 而 因为 人 类 使 用 一 
天 24 小 时 的 制度 ， 所 以 ， 在 地 球 对 角 的 两 边 就 应 该 差 了 12 个 小 时 才 对 。 由 于 同一 个 时 间 点 
上 面 ， 整 个 地 球 表面 的 时 间 应 该 都 不 一 样 ， 为 了 解决 这 个 问题 ， 所 以 可 以 想见 的 ， 地 球 就 被 
分 成 24 个 时 区 了 | 

那么 这 24 个 时 区 是 依据 什么 来 划分 的 呢 ? 由 于 地 球 被 人 类 以 『 经 纬度 」 坐标 来 进行 定位 ， 

而 经 度 为 零 的 地 点 在 英国 『 格 林 威 治 」 这 个 城市 所 在 的 纵 剖 面 上 ，( 注 : 所 谓 的 纵 剖 面 就 是 由 
南极 切 到 北极 的 直线 ， 而 横 切 面 就 是 与 赤道 平行 的 切线 )， 如 下 图 所 示 : 





图 15.1-1、 地 球 的 子午 线 、 经 纬度 与 时 区 的 分 隔 概 念 


因为 绕 地 球 一 圈 是 360 度 角 ， 这 360 度 角 共 分 为 24 个 时 区 ， 当 然 一 个 时 区 就 是 15 度 角 啦 | 
又 由 于 是 以 格林 威 治 时 间 为 标准 时 间 (Greenwich Mean Time, GMT 时 间 )， 加 上 地 球 自 转 的 
关系 ， 因 此 ， 在 格林 威 治 以 东 的 区 域 时 间 是 比较 快 的 (+ 小 时 )， 而 以 西 的 地 方 当 然 就 是 较 慢 


史 ! 


义 台湾 为 例 ， 因 为 台湾 所 在 地 约 为 东经 120 度 北纬 25 度 左 右 ， 又 因为 台湾 在 格林 威 治 的 东方 
， ! 因为 是 东经 嘛 上 ! ^ ^)， 因 此 台湾 本 地 时 间 (local time) 会 比 GMT 时 间 快 8 小 时 (GMT 
+ 8)。 当 格林 威 治 时 间 为 零点 ， 人 台湾 就 已 经 是 早上 八 点 了 上 底下 约略 列 出 各 个 时 区 的 名 称 与 所 
在 经 度 ， 以 及 与 GMT 时 间 的 时 差 : 


标准 时 区 经 度 时 差 


GMT , Greenwich Mean Time 0 W/E 标准 时 间 
CET , Central European 15iE hb 
EET , Eastern European 30E +2 东 二 区 
BT , Baghdad 45E +3 东 三 区 
USSR, Zone 3 60E +4 东 四 区 
USSR, Zone 4 75E oe Ee 
Indian, First 82.3E +5.5 东 五 半 区 
USSR, Zone 5 90E +6 东 六 区 
SST , South Sumatra 105E +7 东 七 区 
JT, Java EE +7.5 东 七 半 区 
CCT , China Coast (台湾 所 在 地 ) 120E +8 东 八 区 
JST , Japan 135E +9 东 九 区 
SAST, South Australia 142 E +9.5 东 九 半 区 
GST , Guam 50E +10 东 十 区 
NZT , New Zealand 180E +12 东 十 二 区 
Int'| Date Line 180 E/W 际 日 期 变更 线 
BST , Bering 165 W -11 西 十 一 区 
SHST, Alaska/Hawaiian 150 W -10 西 十 区 
YST , Yukon 135 W -9 西 九 区 
PST , Pacific 120 W -8 西 八 区 
MST , Mountain 105 W -7 西 七 区 
CST , Central 90 W -6 西 六 区 
EST , Eastern 75W -5 西 五 区 
AST , Atlantic 60W -4 西 四 区 
Brazil, Zone 2 45 W -3 西 三 区 

AT , Azores 30 W -2 西 二 区 
WAT , West Africa 15 W -1 西 一 区 


所 以 哩 ， 台 湾 时 间 是 GMT + 8 就 很 容易 推算 出 来 了 吧 ! 要 特别 留意 的 是 ， 很 多 朋友 在 安装 
Linux 的 时 候 ， 总 是 会 发 现 目前 的 时 间 慢 或 者 快 了 8 小 时 ， 不 要 怀疑 ， 绝 对 与 时 区 有 关 | 赶 
紧 给 他 查 一 下 如 何 调整 时 区 吧 | ^ 人 ^。 


另外 ， 在 上 表 中 有 个 比较 有 趣 的 时 区 ， 那 就 是 在 太平 洋 上 面 的 国际 日 期 变更 线 了 ! 我 们 刚刚 
说 ， 在 格林 成 治 的 东边 时 间 会 较 快 ， 而 在 西边 时 间 会 较 慢 ， 但 是 两 边 各 走 了 180 度 之 后 就 会 
磁头 呆 | 那 不 就 刚好 差 了 24 小 时 吗 ? 没 错 哟 | 所 以 才 订 定 为 『 国 际 日 期 变更 线 」 啊 | 国际 
日 期 变更 线 刚好 在 太平 洋 上 面 ， 因 此 ， 如 果 你 有 坐 飞机 到 美国 的 经 验 应 该 会 发 现 ， 呈 | 怎么 

出 发 的 时 间 是 星期 六 下 午 ， 坐 了 13 个 小 时 的 飞机 到 了 美国 还 是 星期 六 | 因为 刚好 通过 了 国际 
日 期 变更 线 ， 日 期 减少 了 一 天 喔 | 如 果 反 过 来 ， 由 美国 到 台湾 ， 日 期 就 会 多 加 一 天 弓 | ^^ 


15.1.2 什么 是 夏季 节约 时 间 (daylight savings)? 


时 区 的 概念 先 建立 起 来 之 后 ， 现 在 再 来 谈 一 谈 ， 那 么 什么 是 『 夏 季节 约 时 间 (或 称 日 光 节 约 时 
间 )4 ?既然 是 『 夏 季节 约 时 间 J 当然 主要 是 与 夏天 有 关 啦 ! 因为 地 球 在 运行 的 时 候 是 呈现 一 
个 倾斜 角 在 绕 太 阳 运 转 的 ， 所 以 才 有 春 夏 秋冬 (这 个 大 家 应 该 都 知道 啦 )， 在 夏天 的 时 候 ， 白 
天 的 时 间 会 比较 长 ， 所 以 为 了 节约 用 电 ， 因 此 在 夏天 的 时 候 某 些 地 区 会 将 他 们 的 时 间 定 早 一 
小 时 ， 也 就 是 说 ， 原 本 时 区 是 8 点 好 了 ， 但 是 因为 夏天 太阳 比较 早出 现 ， 因 此 把 时 间 向 前 

挪 ， 在 原本 8 点 的 时 候 ， 订 定 为 该 天 的 9 点 (时间 提早 一 人 小时)~ 如 此 一 来 ， 我 们 就 可 以 利用 
阳光 照明 ， 省 去 了 花费 电力 的 时 间 ， 因 此 才 会 称 之 为 夏季 节约 时 间 ! 


因为 台湾 实在 是 太 小 了 ， 并 没有 横 跨 两 个 时 区 ， 因 此 ， 夏 季节 约 时 间 对 我 们 来 说 ， 虽 然 还 是 
有 帮助 啦 1 不 过 ， 似 乎 没有 特别 推行 的 样子 说 ~- 


15.1.3 Coordinated Universal Time (UTC) 与 系统 时 间 的 误差 


了 解 了 一 些 时 区 的 概念 之 后 ， 这 里 要 谈 的 是 『 什 么 是 正确 的 时 间 」。 在 1880 年 代 的 时 间 标 
准 是 以 GMT 时 间 为 主 的 ， 但 是 GMT 时 间 是 以 太阳 通过 ee de ean 
准 。 然而 我 们 都 知道 啊 ， 地 球 自 转 的 轨道 以 及 公转 的 轨道 并 非 正 圆 ， 加 上 地 球 的 自转 速度 

像 有 乏 年 递减 的 问题 ， 所 以 这 个 GMT 时 间 与 我 们 目前 计时 的 时 间 就 有 点 不 一 样 了 。 oo 


在 计算 时 间 的 时 候 ， 最 准确 的 计算 应 该 是 使 用 『 原 子 震 荡 周 期 1 所 计算 的 物理 时 钟 了 (Alomic 

Clock, 也 被 称 为 原子 钟 )， 这 也 被 定义 为 标准 时 间 (International Atomic Time)。 而 我 们 常常 看 

见 的 UTC 也 就 是 Coordinated Universal Time (协和 标准 时 间 ) 就 是 利用 这 种 Atomic Clock 为 
基准 所 定义 出 来 的 正确 时 间 。 例 如 1999 下 用 的 原子 钟 NIST F-1， 他 所 产生 的 时 机 

误差 每 两 千年 才 差 一 秒 钟 | 昌 的 是 很 准 呐 |! 这 个 UTC 标准 时 间 虽 然 与 GMT 时 间 放 在 同 

时 区 为 基准 ， 不 过 Po a ee en 

呢 ! ( 注 2) 


事实 上 ， 在 我 们 的 身边 就 有 很 多 的 原子 钟 ， 例 如 石英 表 ， 还 有 计算 机 主机 上 面 的 BIOS 内 部 
就 含有 一 个 原子 钟 在 Ry 间 的 进行 响 ! 不 过 由 于 原子 钟 主要 是 利用 计算 芯片 (crystal) 
的 原子 震荡 周期 去 计时 的 ， 这 是 因为 每 种 芯片 都 有 自己 的 独特 的 震荡 周期 之 故 。 然而 因为 这 


种 芯片 的 震荡 周期 在 不 同 的 芯片 之 间 多 多 少 少 都 会 有 点 差异 性 ， 甚 至 同一 批 芯 片 也 可 能 会 或 
多 或 少 有 些许 的 差异 (就 连 温 度 也 可 能 造成 这 样 的 误差 呢 )， 因 此 也 就 造成 了 BIOS 的 时 间 会 经 
常 的 给 他 快 了 几 秒 或 者 慢 了 几 秒 。 


或 许 你 会 认为 ，BIOS 定时 器 每 天 快 个 五 秒 也 没有 什么 了 不 起 的 ， 不 过 如 果 你 再 仔细 的 算 一 
算 ， 会 发 现 ， 一 天 快 五 秒 ， 那 么 一 个 月 快 2.5 分 钟 ， 一 年 就 快 了 75 分钟 了 ! 所 以 说 ， 呵 呵 ! 
时 间 差 是 丨 的 会 存在 的 |! 那么 如 果 你 的 计算 机 丨 的 有 这 样 的 情况 ， 那 要 怎么 来 重新 校正 时 间 
呢 ? 那 就 需要 『 网 络 校 时 J (Network Time Protocol, NTP) 的 功能 了 ! 底下 我 们 就 谈 一 谈 那 个 
NTP 的 daemon 吧 ! 


15.1.4 NTP 通讯 协议 


老实 说 ，Linux 操作 系统 的 计时 方式 主要 是 由 1970/01/01 开始 计算 总 秒 数 ， 因 此 ， 如 果 你 还 
记得 date 这 个 指令 的 话 ， 会 发 现 它 有 个 +%s 的 参数 ， 可 以 取得 总 秒 数 ， 这 个 就 是 软件 时 
钟 。 但 ， 如 同 前 面 说 的 ， 计 算 机 硬件 主要 是 以 BIOS 内 部 的 时 间 为 主要 的 时 间 依 据 (硬件 时 
钟 )， 而 偏偏 这 个 时 间 可 能 因为 BIOS 内 部 芯片 本 身 的 问题 ， 而 导致 BIOS 时 间 与 标准 时 间 
(UTC) 有 一 点 点 的 差异 存在 ! 所 以 为 了 避免 主机 时 间 因 为 长 期 运作 下 所 导致 的 时 间 偏 差 ， 进 
行 时 间 同 步 (synchronize) 的 工作 就 显 的 很 重要 了 ! 


e。 软件 时 钟 : 由 Linux 操作 系统 根据 1970/01/01 开始 计算 的 总 秒 数 ; 
e 硬件 时 钟 : 主机 硬件 系统 上 面 的 时 钟 ， 例 如 BIOS 记录 的 时 间 ; 


么 让 时 间 同 步 化 呢 ? 想 一 想 ， 如 果 我 们 选择 几 部 主要 主机 (Primary server) 调 校 时 间 ， 
这 些 Primary Servers 的 时 间 同 步 之 后 ， 再 开放 网 络 服务 来 让 Client 端 联机 ， 并 且 提 供 
Client 端 调整 自己 的 时 间 ， 不 就 可 以 达到 全 部 的 计算 机 时 间 同 步 化 的 运作 了 吗 ! 那么 什么 协议 

可 以 达到 这 样 的 功能 呢 ? 那 就 是 Network Time Protocol ， 另 Digital Time 
Synchronization Protocol (DTSS) 也 可 以 达到 相同 的 功能 ! ， 到底 NTP 这 个 daemon 是 
如 何 让 Server 与 Client 同步 他 们 的 时 间 呢 ? 


首先 ， 主 机 当然 需要 尼 动 这 个 daemon ， 之 后 ， 

Client 会 向 NTP Server 发 送出 调 校 时 间 的 message ， 

然后 NTP Server 会 送出 目前 的 标准 时 间 给 Client ， 

Client 接收 了 来 自 Server 的 时 间 后 ， 会 据 以 调整 自己 的 时 间 ， 就 达成 了 网 络 校 时 咯 ! 


0 


在 上 面 的 步骤 中 你 有 没有 想到 一 件 事 啊 ， 那 就 是 如 果 Client 到 Server 的 讯息 传送 时 间 过 长 怎 
么 办 ?举例 来 说 ， 我 在 台湾 以 ADSL 的 PC 主机， 联机 到 美国 的 NTP Server 主机 进行 时 间 同 
步 化 要 求 ， 而 美国 NTP Server 收 到 我 的 要 求 之 后 ， 就 发 送 当时 的 正确 时 间 给 我 ， 不 过 ， 由 
美国 将 数据 传送 回 我 的 PC 时 ， 时 间 可 能 已 经 延迟 了 10 秒 钟 去 了 ! 这 样 一 来 ， 我 的 PC 校正 
的 时 间 是 10 秒 钟 前 的 标准 时 间 吕 ! 此 外 ， 如 果 美 国 那么 NTP 主机 有 太 多 的 人 喜欢 上 去 进行 
网 络 校 时 了 ， 所 以 loading (负荷 ) 太 重 啦 ! 导致 讯息 的 回 传 又 延迟 的 更 为 严重 ! 那 怎么 办 ? 


为 了 这 些 延迟 的 问题 ， 有 一 些 program 已 经 开发 了 自动 计算 时 间 传 送 过 程 的 误差 ， 以 更 准确 
的 校准 自己 的 时 间 ! 当然 足 ， 在 daemon 的 部 分 ， 也 同时 以 server/client 及 master/slave 的 
架构 来 提供 用 户 进行 网 络 校 时 的 动作 ! 所谓 的 master/slave 就 有 点 类 似 DNS 的 系统 咯 ! 举例 
来 说 ， 台 湾 的 标准 时 间 主 机 去 国际 标准 时 间 的 主机 校 时 ， 然 后 各 大 专 院 校 再 到 台湾 的 标准 时 
间 校 时 ， 然 后 我 们 再 到 各 大 专 院 校 的 标准 时 间 校 时 ! 这 样 一 来 ， 那 几 部 国际 标准 时 间 主 机 
(Time SE 的 loading 就 不 至 于 太 大 ， 而 我 们 也 可 以 很 快速 的 达到 正确 的 网 络 校 时 的 目的 
呢 ! 台湾 常见 的 Time Server 有 ( 注 3) : 


e tick.stdtime.gov.tw 
e tock.stdtime.gov.tw 
e time.stdtime.gov.tw 
e clock.stdtime.gov.tw 
。 Watch.stdtime.gov.tw 


至 于 ntp 这 个 daemon 是 以 port 123 为 连结 的 埠 口 (使 用 UDP 封包 )， 所 以 我 们 要 利用 Time 
server 来 进行 时 间 的 同步 更 新 时 ， 就 得 要 使 用 NTP 软件 提供 的 ntpdate 来 进行 port 123 的 联 
机 喔 ! 关于 网 络 校 时 更 多 的 说 明 ， 可 以 到 NTP 的 官方 网 站 ( 注 4) 上 察看 喔 ! 


15.1.5 NTP 服务 器 的 阶层 概念 


如 前 所 述 ， 由 于 NTP 时 间 服务 器 采用 类 似 阶 层 架构 (stratum) 来 处 理 时 间 的 同步 化 ， 所 以 他 
使 用 的 是 类 似 一 般 server/client 的 主 从 架构 。 网 络 社会 上 面 有 提供 一 些 主要 与 次 要 的 时 间 服 
务 器 ， 这 些 均 属 于 第 一 阶 及 第 二 阶 的 时 间 服 务 器 (stratum-1, stratum-2) ， 如 下 所 示 : 


e 主要 时 间 服 务 器 : http://support.ntp.org/bin/view/Servers/StratumOneTimeServers 
e 次 要 时 间 服 务 器 : http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers 


由 于 这 些 时 间 服 务 器 大 多 在 国外 ， 所 以 我 们 是 否 要 使 用 这 些 服务 器 来 同步 化 自己 的 时 间 呢 ? 
其 实 如 果 台 湾 地 区 已 经 有 标准 时 间 服 务 器 的 话 ， 用 那 部 即 可 ， 不 需要 联机 到 国外 啦 ! 浪费 带 
宽 与 时 间 啊 1 而 如 前 面 提 到 的 ， 台 湾 地 区 已 经 有 标准 的 时 间 服 务 器 了 ， 所 以 当然 我 们 可 以 直 
接 选 择 台 湾 地 区 的 NTP 主机 即 可 。 


如 果 你 评估 一 下 ， 确 定 有 架设 NTP 的 需求 时 ， 我 们 可 以 直接 选择 台湾 地 区 的 上 层 NTP 来 同 
步 化 时 间 即 可 。 ee tock.stdtime.gov.tw 这 个 国家 单位 的 主机 应 该 是 比较 适合 的 。 一 般 
来 说 ， 我 们 在 进行 NTP 主机 的 设 定 时 ， 都 会 先 选择 多 部 上 层 的 Time Server 来 做 为 我 们 这 一 
部 NTP Server an ， 选 择 多 部 的 原因 是 因为 可 以 避免 因为 某 部 时 间 服 务 器 突然 挂 点 
时 ， 其 他 主机 仍然 可 以 提供 我 们 的 NTP 主机 来 自我 更 新 啊 ! 然后 我 们 的 NTP Server 才 提 供 
给 自己 的 Client 端 更 新 时 间 。 如 此 一 来 ， 国 家 单位 的 tock.stdtime.gov.tw 负载 才 不 会 太 大 ， 
而 我 们 的 Client 也 可 以 很 快速 的 达到 校 时 的 动作 ! 


Tips: 其 实 NTP 的 阶层 概念 与 DNS 很 类 似 啦 ， 当 你 架设 一 部 NTP 主机 ， 这 部 NTP 所 向 上 要 
求 同 步 化 的 那 部 主要 主机 为 stratum-1 时 ， 那 么 你 的 NTP 就 是 stratum-2 哆 ! 举例 来 说 ， 如 
果 我 们 的 NTP 是 向 台湾 的 tock.stdtime.gov.tw 这 部 stratum-2 的 主机 要 求 时 间 同 步 化 ， 那 我 
们 的 主机 即 为 stratum-3 ， 如 果 还 有 其 他 的 NTP 主机 向 我 们 要 求 时 间 同 步 ， 那 么 该 部 主机 则 
会 是 stratum-4 啦 ! 就 这 样 啊 ~ 那 最 多 可 以 有 几 个 阶层 ?最 多 可 达 15 个 阶层 哩 ! 





15.2 NTP 服务 器 的 安装 与 设 定 


NTP 服务 器 也 是 一 个 很 容易 就 可 以 架设 成 功 的 玩意 儿 ， 不 过 这 个 软件 在 不 同 的 distribution 上 

能 有 不 一 样 的 名 称 ， 你 要 作 的 其 实 就 是 将 他 安装 起 来 之 后 ， 规 定 一 部 上 层 NTP 服务 器 来 
es 的 时 间 即 可 啊 ! 如 果 你 只 是 想 要 进行 你 自己 单 部 主机 的 时 间 同 步 化 ， 别 架设 NTP ， 
直接 使 用 NTP 客户 端 软 件 即 可 喔 ! 


15.2.1 所 需 软 件 与 软件 结构 


在 CentOS 6.x 上 头 ， 你 所 需要 的 软件 其 实 仅 有 ntp 这 个 玩意 儿 而 已 ， 请 自行 使 用 rpm 去 找 
找 看 ， 若 没有 安装 ， 请 利用 yum install ntp 即 可 啊 ! 不 过 ， 我 们 还 需要 时 区 相关 的 数据 文 
件 ， 所 以 你 需要 的 软件 有 : 


。 ntp : 就 是 NTP 服务 器 的 主要 软件 啦 ， ie a 
。 tzdata : 软件 名 称 为 『 Time Zone data J 的 缩写 ， 提 供 各 时 区 对 应 的 显示 格式 。 


与 时 间 及 NTP 服务 器 设 定 相关 的 配置 文件 与 重要 数据 文件 有 底下 几 个 : 


。 /etc/ntp.conf : 就 是 NTP 服务 器 的 主要 配置 文件 ， 也 是 唯一 的 一 个 ; 


/usr/share/zoneinfo/ : 由 tzdata 所 提供 ， 为 各 时 区 的 时 间 0 档 。 例 如 台湾 地 区 的 
时 区 格式 对 应 档案 在 /usr/share/zoneinfo/Asia/Taipei 就 是 了 | 这 个 目录 里 面 的 档案 与 底 
下 要 谈 的 两 个 档案 (clock 与 localtime) 是 有 关系 的 嘱 ! 


/etc/sysconfig/clock : 设 定时 区 与 是 否 使 用 UTC 时 间 钟 的 配置 文件 。 每 次 开机 后 Linux 
会 自动 的 读 取 这 个 档案 来 设 定 自 己 系统 所 默认 要 显示 的 时 间 说 ! 举 个 例子 来 说 ， 在 我 们 
台湾 地 区 的 本 地 时 间 设 定 中 ， 这 个 档案 内 应 该 会 出 现 一 行 【ZONE="Asia/Taipei"J 的 字 

样 ， 这 表示 我 们 的 时 间 配 置 文件 案 『 要 取 用 /usr/share/zoneinfo/Asia/Taipei 那个 档案 J 

的 意思 | 


/etc/localtime : 这 个 档案 就 是 『 本 地 端的 时 间 配 置 文件 」 啦 1 刚刚 那个 clock 档案 里 面 
规定 了 使 用 的 时 间 配 置 文件 (ZONE) 为 /usr/share/zoneinfo/Asia/Taipei ， 所 以 说 这 就 是 
本 地 端的 时 间 了 ， 此 时 Linux 系统 就 会 将 Taipei 那个 档案 复制 一 份 成 为 /etc/localtime ， 
所 以 未 来 我 们 的 时 间 显 示 就 会 以 Taipei 那个 时 间 配 置 文件 案 为 准 。 


至 于 在 常用 于 时 间 服 务 器 与 修改 时 间 的 指令 方面 ， 主 要 有 底下 这 几 个 啦 : 
。 /bin/date : 用 于 Linux 时 间 (软件 时 钟 ) 的 修改 与 显示 的 指令 ; 


e。 /sbin/hwclock : 用 于 BIOS 时 钟 (硬件 时 钟 ) 的 修改 与 显示 的 指令 。 这 是 一 个 root 才能 执 
行 的 指令 ， 因 为 Linux 系统 上 面 BIOS 时 间 与 Linux 系统 时 间 是 分 开 的 ， 所 以 使 用 date 
这 个 指令 调整 了 时 间 之 后 ， 还 需要 使 用 hwclock 才能 将 修改 过 后 的 时 间 写 入 BIOS 当 


中 |! 
。 /usr/sbin/ntpd : 主要 提供 NTP 服务 的 程序 哆 | 配置 文件 为 /etc/ntp.conf 


。 /usr/sbin/ntpdate : 用 于 客户 端的 时 间 校 正 ， 如 果 你 没有 要 启用 NTP 而 仅 想 要 使 用 NTP 
Client 功能 的 话 ， 那 么 只 会 用 到 这 个 指令 而 已 啦 ! 

例题 : 假设 你 的 笔记 本 电脑 安装 CentOS 这 套 系统 ， 而 且 选 择 的 时 区 为 人 台湾。 现在 ， 你 将 有 
一 个 月 的 时 间 要 出 差 到 美国 的 纽约 去 ， 你 会 带 着 这 个 笔 电 ， 那 么 到 了 美国 之 后 ， 时 间 会 不 一 
致 啊 ! 你 该 如 何 手动 的 调整 时 间 参 数 呢 ? 答 : 因为 时 区 数据 文件 在 /usr/share/zoneinfo 内 ， 
在 该 目录 内 会 找到 /usrshare/zoneinfo/America/New York 这 个 时 区 档 。 而 时 区 配置 文件 在 
/etc/sysconfig/clock ， 且 目前 的 时 间 格 式 在 /etc/localtime ， 所 以 你 应 该 这 样 做 : 

[root@www ~]# date 

Thu Jul 28 15:08:39 CST 2011 &1lt;== 重 点 是 CST 这 个 时 区 喔 ! 


[root@www ~]# vim /etc/sysconfig/clock 
ZONE="America/New_York" &1t;== 改 的 是 这 里 啦 ! 


[root@www ~]# cp /usr/share/zoneinfo/America/New_ York /etc/localtime 


[root@www ~]# date 
Thu Jul 28 03:09:21 EDT 2011 &]lt;== 时 区 与 时 间 都 改变 了 ! 


这 个 范例 做 完 之 后 ， 记 得 将 这 两 个 档案 改 回来 ! 不 然 以 后 你 的 时 间 都 是 美国 时 间 啦 ! 


接 下 来 ， 我 们 先 来 谈 一 谈 如 何 设计 那个 /etc/ntp.conf 吧 ! 


15.2.2 主要 配置 文件 ntp.conf 的 处 理 


由 于 NTP 服务 器 的 设 定 需要 有 上 游 服 务 器 的 支持 才 行 ， 因 此 请 回头 参考 一 下 15.1.4 及 15.1.5 
的 介绍 ， 这 样 才能 够 理解 为 何 底 下 的 设 定 是 这 样 哆 ! 好 了 ， 我 假设 俺 的 NTP 服务 器 所 需要 设 
定 的 架构 如 下 : 


e。 我 的 上 层 NTP 服务 器 共有 tock.stdtime.gov.tw, tick.stdtime.gov.tw, time.stdtime.gov.tw 
三 部 ， 其 中 以 tock.stdtime.gov.tw 最 优先 使 用 (prefer) ; 

。 不 对 Internet 提供 服务 ， 仅 允许 来 自 内 部 网 域 192.168.100.0/24 的 查询 而 已 ; 

。 侦 测 一 些 BIOS 时 钟 与 Linux 系统 时 间 的 差异 并 写 入 /var/lib/ntp/drift 档案 当中 。 


好 了 ， 先 让 我 们 谈 一 谈 如 何在 ntp.conf 里 面 设 定 权限 控制 吧 ! 
e。 利用 restrict 来 管理 权限 控制 


在 ntp.conf 档案 内 可 以 利用 『 restrict 」 来 控 管 权限 ， 这 个 参数 的 设 定 方 式 为 : 


restrict [你 的 IP] mask [netmask_IP] [parameter] 


其 中 parameter 的 参数 主要 有 底下 这 些 : 


。 ignore : 拒绝 所 有 类 型 的 NTP 联机 ; 

。 nomodify : 客户 端 不 能 使 用 ntpc 与 ntpq 这 两 支 程序 来 修改 服务 器 的 时 间 参 数 ， 但 客户 
端 仍 可 透 过 这 部 主机 来 进行 网 络 校 时 的 ; 

e noquery : 客户 端 不 能 够 使 用 ntpq, ntpc 等 指令 来 查询 时 间 服 务 器 ， 等 于 不 提供 NTP 的 
网 络 校 时 鹃 ; 

e notrap : 不 提供 trap 这 个 远程 事件 登录 (remote event logging) 的 功能 。 

e notrust : 拒绝 没有 认证 的 客户 端 。 


那 如 果 你 没有 在 parameter 的 地 方 加 上 任何 参数 的 话 ， 这 表示 『 该 IP 或 网 段 不 受 任何 限制 J 
的 意思 喔 ! 一 般 来 说 ， 我 们 可 以 先 关闭 NTP 的 权限 ， 然 后 再 一 个 一 个 的 启用 允许 登入 的 网 


段 。 
e。 利用 server 设 定 上 层 NTP 服务 器 


上 层 NTP 服务 器 的 设 定 方式 为 : 


Server [IP or hostname] [prefer] 


在 server 后 端 可 以 接 IP 或 主机 名 ， 鸟 哥 个 人 比较 喜欢 使 用 |P 来 设 定 说 ! 至 于 那个 perfer 表 
示 『 优 先 使 用 J」 的 服务 器 喝 一 有 够 简单 吧 ! 


e。 以 driftfile 记录 时 间 差 异 
设 定 的 方式 如 下 : 


driftfile [可 以 被 ntpd 写 入 的 目录 与 档案 ] 


因为 预 设 的 NTP Server 本 身 的 时 间 计 算是 依据 BIOS 的 芯片 震荡 周期 频率 来 计算 的 ， 但 是 这 
个 数值 与 上 层 Time Server 不 见得 会 一 致 啊 ! 所 以 NTP 这 个 daemon (ntpd) 会 自动 的 去 计算 
我 们 自己 主机 的 频率 与 上 层 Time server 的 频率 ， 并 且 将 两 个 频率 的 误差 记录 下 来 ， 记 录 下 来 
的 档案 就 是 在 driftfile 后 面 接 的 完整 档 名 当中 了 ! 关于 档 名 你 必须 要 知道 : 


。 driftfile 后 面 接 的 档案 需要 使 用 完整 路 径 文件 名 ; 

。 该 档案 不 能 是 连结 档 ; 

e。 该 档案 需要 设 定 成 ntpd 这 个 daemon 可 以 写 入 的 权限 。 
。 该 档案 所 记录 的 数值 单位 为 : 百 万 分 之 一 秒 (ppm)。 


driftfile 后 面 接 的 档案 会 被 ntpd 自动 更 新 ， 所 以 他 的 权限 一 定 要 能 够 让 ntpd 写 入 才 行 。 在 
CentOS 6.x 预 设 的 NTP 服务 器 中 ， 使 用 的 ntpd 的 owner 是 ntp ， 这 部 份 可 以 查阅 
/etc/sysconfig/ntpd 就 可 以 知道 啦 ! 


。 keys [key file] 


除了 以 restrict 来 限制 客户 端的 联机 之 外 ， 我 们 也 可 以 透 过 密 钥 系统 来 给 客户 端 认证 ， 如 此 一 
来 可 以 让 主机 端 更 放心 了 。 不 过 在 这 个 章节 里 面 我 们 暂 不 讨论 这 个 部 分 ， 有 兴趣 的 朋友 可 以 
参考 ntp-keygen 这 个 指令 的 相关 说 明 喔 ! 


根据 上 面 的 说 明 ， 我 们 最 终 可 以 取得 这 样 的 配置 文件 案 内 容 吗 (底下 仅 修改 部 分 数据 ， 保 留 大 
部 分 的 设 定 值 哈 ) ! 


[root@www ~]# vim /etc/ntp.conf 

# 1\， 先 处 理 权 限 方面 的 问题 ， 包 括 放行 上 层 服务 器 以 及 开放 区 网 用 户 来 源 : 

restrict default kod nomodify notrap nopeer noquery &1t ;== 拒 绝 IPv4 的 用 户 
restrict -6 default kod nomodify notrap nopeer noquery &1lt;== 拒 绝 IPv6 的 用 户 
restrict 220.130.158.71  &]t;== 放 行 tock.stdtime.gov.tw 进入 本 NTP 服务 器 
restrict 59.124.196.83 &1lt;== 放 行 tick.stdtime.gov.tw 进入 本 NTP 服 
restrict 59.124.196.84 &1t ;== 放 行 time.stdtime.gov.tw 进入 本 NTP 服 
restrict 127.0.0.1 &1t ;== 底 下 两 个 是 默认 值 ， 放行 本 机 来 源 

restrict -6 ::1 

restrict 192.168.100.0 mask 255.255.255.0 nomodify &1lt;== 放 行 区 网 来 源 
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# 2\， 设 定 主机 来 源 ， 请 先 将 原本 的 [0&#124;1&#124;2] .centos.pool.ntp.org 的 设 定 批注 掉 : 
server 220.130.158.71 prefer  &lLt;== 以 这 部 主机 为 最 优先 

server 59.124.196.83 

server 59.124.196.84 


# 3. 预 设 时 间 差 异 分 析 档 案 与 暂 不 用 到 的 keys 等 ， 不 需要 更 动 它 : 


driftfile /var/lib/ntp/drift 
keys /etc/ntp/keys 


这 样 就 设 定 有 要 当 了 ， 准 备 来 启动 NTP 服务 吧 ! 


15.2.3 NTP 的 启动 与 观察 
设 定 完 ntp.conf 之 后 就 可 以 启动 ntp 服务 器 了 。 局 动 与 观察 的 方式 如 下 : 


# 1\， 启动 NTP 

[root@www ~]# /etc/init.d/ntpd start 

[root@www ~]# chkconfig ntpd on 

[root@www ~]# tail /var/log/messages &lt;== 自 行 检查 看 看 有 无 错误 


# 2\， 观 察 启动 的 堆 口 看 看 : 
[root@www ~]# netstat -tlunp &#124; grep ntp 


Proto Recv-Q Send-Q Local Address Foreign Address PID/Program name 
udp 0 © 192.168.100.254:123 0.0.0.0:* 3492/ntpd 
udp 0 © 192.168.1.100:123 0.0.0.0:* 3492/ntpd 
udp 0 © 127.0.0.1:123 0.0.0.0:* 3492/ntpd 
udp 0 © 0.0.0.0:123 0.0.0.0:* 3492/ntpd 
udp 0 2 RR 3492/ntpd 
udp 0 O23, 和 3492/ntpd 


# 主要 是 UDP 封包 ， 且 在 port 123 这 个 堆 口 的 啦 ! 


这 样 就 表示 我 们 的 NTP 服务 器 已 经 启动 了 ， 不 过 要 与 上 层 NTP 服务 器 联机 则 还 需要 一 些 时 
间 ， 通 常 启动 NTP 后 约 在 15 分 钟 内 才 会 和 上 层 NTP 服务 器 顺利 连接 上 。 那 要 如 何 确 认 我 
们 的 NTP 服务 器 有 顺利 的 更 新 自己 的 时 间 呢 ? 你 可 以 使 用 底下 几 个 指令 来 查阅 喔 (请 自行 等 


待 数 分 钟 后 再 以 下 列 指令 查阅 ) : 


[root@www ~]# ntpstat 
Synchronised to NTP server (220.130.158.71) at stratum 3 


time correct to within 538 ms 
polling server every 128 s 


这 个 指令 可 以 列 出 我 们 的 NTP 服务 器 有 跟 上 层 联机 否 。 由 上 述 的 输出 结果 可 以 知道 ， 时 间 有 
校正 约 538 * 10^(-3) 秒 ， 且 每 隔 64 秒 会 主动 去 更 新 时 间 喔 ! 


[root@www ~]# ntpq -p 


remote refid st t when poll reach delay offset jitter 


*tock.stdtime.go 59.124.196.87 2 U 19 128 377 12.092 -0.953 0.942 
+59-124-196-83.H 59.124.196.86 2 U 8 128 377 14.154 7.616 1.533 
+59-124-196-84.H 59.124.196.86 2 U ZL283A 14.524 4.354 1.079 


这 个 ntpq -p 可 以 列 出 目前 我 们 的 NTP 与 相关 的 上 层 NTP 的 状态 ， 上 头 的 几 个 字段 的 意义 


汽 


remote : 亦 即 是 NTP 主机 的 IP 或 主机 名 嘿 一 注意 最 左边 的 符号 
o 如 果 有 『* J 了 代表 目前 正在 作用 当中 的 上 层 NTP 
o 如 果 是 『+ J 代表 也 有 连 上 线 ， 而 且 可 作为 下 一 个 提供 时 间 更 新 的 候选 者 。 
refid : 参考 的 上 一 层 NTP 主机 的 地 址 
st : 就 是 stratum 阶层 嘿 ! 
When : 几 秒 钟 前 曾经 做 过 时 间 同 步 化 更 新 的 动作 ; 
poll : 下 一 次 更 新 在 几 秒 钟 之 后 ; 
reach : 已 经 向 上 层 NTP 服务 器 要 求 更 新 的 次 数 
delay : 网 络 传输 过 程 当中 延迟 的 时 间 ， 单 位 为 10^(-6) 秒 
offset : 时 间 补 偿 的 结果 ， 单 位 与 10^(-3) 种 
jitter : Linux 系统 时 间 与 BIOS 硬件 时 间 的 差异 时 间 ， 单 位 为 10^(-6) 秒 。 





事实 上 这 个 输出 的 结果 告诉 我 们 ， 时 间 曝 的 很 准 了 啦 ! 因为 差异 都 在 0.001 秒 以 内 ， 可 以 符 

合 我 们 的 一 般 使 用 了 。 另 外 ， 你 也 可 以 检查 一 下 你 的 BIOS 时 间 与 Linux 系统 时 间 的 差异 ， 
就 是 /varl/lib/ntp/drift 这 个 档案 的 内 容 ， 就 能 了 解 到 咱们 的 Linux 系统 时 间 与 BIOS 硬件 时 钟 
到 底 差 多 久 ? 单位 为 10^(-6) 秒 啦 ! 


要 让 你 的 NTP Server/Client 站 的 能 运作 ， 在 上 述 的 动作 中 得 注意 : 


上 述 的 ntpstat 以 及 ntpq -p 的 输出 结果 中 ， 你 的 NTP 服务 器 监 的 要 能 够 连结 上 层 NTP 
才 行 喔 1 否则 你 的 客户 端 将 无 法 对 你 的 NTP 服务 器 进行 同步 更 新 的 | 重要 重要 ! 


你 的 NTP 服务 器 时 间 不 可 与 上 层 差异 太 多 。 举 例 来 说 ， 乌 哥 测试 NTP 服务 器 约 在 
2011/7/28 下 午 ， 如 果 我 的 服务 器 时 间 原本 是 错误 的 2010/7/28， 足 足 差 了 一 年 ， 那 么 
层 服 务 器 恐怕 就 不 会 将 正确 的 时 间 传 给 我 ! 这 时 就 会 造成 困扰 了 ! 


服务 器 防火 墙 在 UDP port 123 有 没有 开 啊 ? 要 特别 注意 的 呢 |! 


。 等 待 的 时 间 够 不 够 长 ? 鸟 哥 设 定 NTP 等 过 最 久 的 时 间 大 约 是 一 小 时 ! 你 有 等 这 么 久 过 
否 ? 


15.2.4 安全 性 设 定 


NTP 服务 器 在 安全 的 相关 性 方面 ， 其 实 刚 刚 我 们 在 /etc/ntp.conf 里 面 的 restrict 参数 中 就 已 经 
设 定 了 NTP 这 个 daemon 的 服务 限制 范围 了 ! 不 过 ， 在 防火 墙 iptables 的 部 分 ， 还 是 需要 开 
局 联机 监听 的 啦 1 所以， 在 你 的 iptables 规则 的 Scripts 当中 ， 需 要 加 入 这 一 段 (我 是 以 开放 
192.168.100.0/24 这 个 网 域 作为 范例 的 |) 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 --dport 123 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


若 还 要 开放 其 他 的 网 段 或 者 客户 端 主机 ， 请 自行 修改 /etc/ntpd.conf 以 及 你 的 防火 墙 机 制 咯 ! 


15.3 客户 端的 时 间 更 新 方式 


上 头 介绍 了 NTP 服务 器 的 安装 与 设 定 ， 如 果 我 们 仅 有 十 部 不 到 的 主机 时 ， 老 实说 ， 实 在 没有 
架设 NTP 服务 器 的 需求 。 只 要 能 够 在 你 的 主机 上 头 以 NTP 客户 端 软 件 来 进行 网 络 校 时 就 能 
够 同步 化 时 间 了 ， 没 必要 时 时 刻 刻 进行 时 间 的 校正 吧 1^^ | 但 是 ， 如 果 是 类 似 一 定 要 时 间 同 
步 的 从 集 计算 机 群 或 登录 服务 器 群 ， 那 就 得 要 使 用 时 间 服 务 器 比较 好 嘿 | 


15.3.1 Linux 手动 校 时 工作 : date, hwclock 
先 来 复习 一 下 前 面谈 到 的 重点 ， 那 就 是 Linux 操作 系统 当中 其 实 有 两 个 时 间 ， 分 别 是 


e。 软件 时 钟 : Linux 自己 的 系统 时 间 ， 由 1970/01/01 开始 记录 的 时 间 参 数 
e@ 硬件 时 钟 : 计算 机 系统 在 BIOS 记录 的 实际 时 间 ， 这 也 是 硬件 所 记录 的 


在 软件 时 钟 方面 ， 我 们 可 以 透 过 date 这 个 指令 来 进行 手动 修订 ， 但 如 果 要 修改 BIOS 记录 的 
时 间 ， 就 得 要 使 用 hwclock 这 个 指令 来 写 入 才 行 。 相 关 的 用 法 如 下 : 


[root@clientlinux ~]# date MMDDhhmmYYYY 
选项 与 参数 : 
MM : 月 份 
DD : 日 期 
h : 小 时 
mm : 分 钟 
YYYY : 公元 年 


# 1\， 修 改 时 间 成 为 1 小 时 后 的 时 间 该 如 何 是 好 ? 
[root@clientlinux ~]# date 
Thu Jul 28 15:33:38 CST 2011 


[root@clientlinux ~]# date 072816332011 
Thu Jul 28 16:33:00 CST 2011 
# 瞧 ! 时 间 立 刻 就 变 成 一 个 小 时 后 了 ! 


[root@clientlinux ~]# hwclock [-rw] 

选项 与 参数 : 

-r : 亦 即 read ， 读 出 目前 BIOS 内 的 时 间 参 数 ; 

-W : 刘 即 write ， 将 目前 的 Linux 系统 时 间 写 入 BIOS 当中 啊 ! 


# 2\， 查阅 BIOS 时 间 ， 并 且 写 入 更 改过 的 时 间 哆 ! 
[root@clientlinux ~]# date; hwclock -r 

Thu Jul 28 16:34:00 CST 2011 

Thu 28 Jul 2011 03:34:57 PM CST -0.317679 seconds 
# 看 一 看 ， 是 否 刚好 差异 约 一 个 小 时 啊 ! 这 就 是 BIOS 时 间 ! 


[root@clientlinux ~]# hwclock -w; hwclock -r; date 
Thu 28 Jul 2011 04:35:12 PM CST -0.265656 seconds 
Thu Jul 28 16:35:11 CST 2011 

# 这 样 就 写 入 哆 ~ 所 以 软件 时 钟 与 硬件 时 钟 就 同步 啦 ! 很 简单 吧 ! 


这 样 可 以 了 解 了 吗 ? 当 我 们 进行 完 Linux 时 间 的 校 时 后 ， 还 需要 以 hwclock 来 更 新 BIOS 的 
时 间 ， 因 为 每 次 重新 启动 的 时 候 ， 系 统 会 重新 由 BIOS 将 时 间 读 出 来 ， 所 以 ，BIOS 才 是 重要 
的 时 间 依 据 呐 。 


15.3.2 Linux 的 网 络 校 时 


在 Linux 的 环境 当中 可 利用 NTP 的 客户 端 程序 ， 亦 即 是 ntpdate 这 支 程序 就 能 够 进行 时 间 的 
同步 化 。 不 过 你 要 知道 的 是 ， 因 为 NTP 服务 器 本 来 就 会 与 上 层 时 间 服 务 器 进行 时 间 的 同步 
化 ， 所 以 在 预 设 的 情况 下 ，NTP 服务 器 不 可 以 使 用 ntpdate ! 也 就 是 说 ntpdate 与 ntpd 不 能 
同时 启用 的 。 所 以 你 不 要 在 NTP server 上 头 执行 这 个 指令 吻 ! 我 们 就 来 看 看 如 何 处 理 吧 ! 


[root@clientlinux ~]# ntpdate [-dv] [NTP IP/hostname] 
选项 与 参数 : 

-d :进入 除 错 模 式 (debug) ， 可 以 显示 出 更 多 的 有 效 信息 。 

-V : 有 较 多 讯息 的 显示 。 


[root@clientlinux ~]# ntpdate 192.168.100.254 
28 Jul 17:19:33 ntpdate[3432]: step time server 192.168.100.254 offset -2428.396146 sec 
# 最 后 面 会 显示 微调 的 时 间 有 多 少 (offset)， 因 为 乌 哥 这 部 主机 时 间 差 很 多 ， 所 以 秒 数 . . 


[root@clientlinux ~]# date; hwclock -r 

四 7 月 28 17:20:27 CST 2011 

公元 2011 年 07 月 28 日 ( 周 四 ) 18 时 19 分 26 秒 ” -0.752393 seconds 

# 知道 岛 哥 想 要 表达 什么 吗 ? 对 啊 ! 还 得 hwclock -WwW 写 入 BIOS 时 间 才 行 啊 ! 


[root@clientlinux ~]# vim /etc/crontab 


基 加 入 这 一 行 去 ! 
10 5* * * root (/usr/sbin/ntpdate tock.stdtime.gov.tw && /sbin/hwclock -w) &&gt; /dev/nu 


加 = 一 


使 用 crontab 之 后 ， 每 天 5:10 Linux 系统 就 会 自动 的 进行 网 络 校 时 嚼 ! 相当 的 简易 吧 ! 不 

过 ， 这 个 方式 仅 适合 不 要 启动 NTP 的 情况 。 如 果 你 的 机 器 数量 太 多 了 ， 那 么 客户 端 最 好 也 局 
动 一 下 NTP 服务 ! 透 过 NTP 去 主动 的 更 新 时 间 吧 ! 如 何 达 成 这 个 动作 呢 ? 也 很 简单 啊 ， 修 
改 /etc/ntp.conf 即 可 : 





[root@clientlinux ~]# ntpdate 192.168.100.254 
# 由 于 ntpd 的 server/client 之 间 的 时 间 误 差 不 允 许 超过 1000 秒 ， 
# 因此 你 得 先 手 动 进行 时 间 同 步 ， 然 后 再 设 定 与 启动 时 间 服 务 器 哟 ! 


[root@clientlinux ~]# vim /etc/ntp.conf 

#server QO.centos.pool.ntp.org 

#server 1.centos.pool.ntp.org 

#server 2.centos.pool.ntp.org 

restrict 192.168.100.254 &1lt;== 放 行 服务 器 来 源 ! 

server 192.168.100.254 &1lt;== 这 就 是 服务 器 ! 

# 很 简单 ， 就 是 将 原本 的 server 项 目 批注 ， 加 入 我 们 要 的 服务 器 即 可 


[root@clientlinux ~]# /etc/init.d/ntpd start 
[root@clientlinux ~]# chkconfig ntpd on 


然后 取消 掉 crontab 的 更 新 程序 ， 这 样 你 的 client 计算 机 就 会 主动 的 到 NTP 服务 器 去 更 新 
哩 ! 也 是 轻松 愉快 啊 ! 不 过 针对 客户 端 来 说 ， 乌 哥 还 是 比较 习惯 使 用 crontab 的 方式 来 处 理 


就 是 了 。 


15.3.3 Windows 的 网 络 校 时 


或 许 你 一 直 都 没 发 现 ， 其 实 Windows 在 预 设 的 情况 当中 ， 已 经 帮 我 们 处 理 了 网 络 校 时 的 工作 
喔 ! 不 管 你 愿 不 愿意 .. 你 可 以 将 鼠标 的 指针 指 在 任务 栏 右 下 角 的 时 间 以 如 下 的 方式 来 查阅 一 
下 网 络 时 间 服 务 器 的 设 定 : 
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图 15.3-1、Windows 7 提供 的 网 络 校 时 功能 


点 选 上 图 中 的 『 变 更 日 期 与 时 间 设 定 值 ] ， 出 现 如 下 图 示 : 
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15.3-2、Windows 7 提供 的 网 络 校 时 功能 


如 上 所 示 ， 你 可 以 自行 填写 台湾 的 时 间 服 务 器 来 对 应 时 间 ， 当 然 也 可 以 填写 你 自己 的 时 间 服 


务 器 啊 1 之 后 系统 就 会 主动 的 上 网 去 更 新 时 间 了 。 不 过 ， 这 是 Windows XP 之 后 的 窗口 系统 


才 有 的 功能 ， 如 果 是 比较 早期 的 Windows ， 例 如 Windows 95/2000 预 设 是 没有 这 个 功能 
的 。 不 过 也 没有 关系 ， 因 为 国家 频率 与 时 间 标 准 实验 室 (http://www.stdtime.gov.tw/) 也 有 提 
供 一 个 客户 端 软 件 强 ! 链接 资料 如 下 : 


e http://www.stdtime.gov.tw/chinese/EXE/NTPClock.exe 


你 可 以 下 载 ， 直 接 执行 他 就 知道 如 何 处 理 了 ， 因 为 是 全 中 文 接口 的 图 形 化 软件 嘛 ! 


15.4 重点 回顾 


。 地 球 共 有 24 个 时 区 ， 而 以 格林 威 治 时 间 (GMT) 为 标准 时 间 ; 

。 台湾 本 地 时 间 为 GMT+8 小 时 ; 

。 最 准确 的 时 间 为 使 用 原子 钟 (Atomic clock) 所 计算 的 ， 例 如 UTC (Coordinated Universal 
Time) 就 是 一 例 ; 

e Linux 系统 本 来 就 有 两 种 时 间 ， 一 种 是 Linux 以 1970/01/01 开始 计数 的 系统 时 间 ， 一 种 
则 是 BIOS 记载 的 硬件 时 间 ; 

。 Linux 可 以 透 过 网 络 校 时 ， 最 常见 的 网 络 校 时 为 使 用 NTP 服务 器 ， 这 个 服务 启动 在 udp 
port 123 ， 

e。 时 区 档案 主要 放置 于 /usrshare/zoneinfo/ 目录 下 ， 而 本 地 时 区 则 参考 /etc/localtime ; 

。 NTP 服务 器 为 一 种 阶层 式 的 服务 ， 所 以 NTP 服务 器 本 来 就 会 与 上 层 时 间 服 务 器 作 时 间 的 
同步 化 ， 因 此 nptd 与 ntpdate 两 个 指令 不 可 同时 使 用 ; 

e。 NTP 服务 器 的 联机 状态 可 以 使 用 ntpstat 及 ntpq -p 来 查询 ; 

e。 NTP 提供 的 客户 端 软件 为 ntpdate 这 个 指令 ; 

。 在 Linux 下 想 要 手动 处 理 时 间 时 ， 需 以 date 设 定时 间 后 ， 以 hwclock -w 来 写 入 BIOS 所 
记录 的 时 间 。 

e。 NTP 服务 器 之 间 的 时 间 误 差 不 可 超过 1000 秒 ， 否 则 NTP 服务 会 自动 关闭 。 


15.5 本 章 习 题 


什么 是 GMT (格林 威 治 ) 时 间 与 UTC 时 间 ? 由 于 地 球 是 圆 的 ， 所 以 同一 时 间 点 上 ， 在 地 
球 共 可 分 为 24 个 时 区 ， 其 中 ， 我 们 以 欧洲 的 格林 威 治 时 间 为 一 个 对 照 的 依据 ， 这 个 即 是 
GMT 时 间 。 人 台湾 时 间 比 GMT 时 间 快 了 8 小 时 。 至 于 UTC 时 间 则 是 由 原子 钟 所 计算 的 
时 间 ， 这 个 时 间 是 相当 的 准确 的 ， 主 要 仍 以 格林 威 治 时 间 为 时 区 ! 

Linux 系统 的 所 有 时 区 档案 放置 哪 一 个 目录 底下 ?了 所 有 的 时 区 档案 放置 

于 : /usr/share/zoneinfo 底下 ! 至 于 系统 时 区 的 配置 文件 则 在 /etc/sysconfig/clock 与 
/etc/localtime 喔 ! 

我 的 Linux 主机 本 来 放置 在 日 本 东京 ， 现 在 想 将 他 拿 到 台湾 来 运作 ， 不 过 因为 日 本 与 台 
湾 有 一 个 小 时 的 时 差 ， 所 以 我 的 时 间 应 该 需要 经 过 调整 才 行 。 不 过 ， 因 为 我 的 BIOS 
Time 主要 是 依据 UTC 时 间 来 设 定 的 ， 所 以 似乎 只 要 更 动 时 区 参数 即 可 。 请 问 我 该 如 何 
设 定时 区 ， 好 让 我 的 Linux 主机 能 够 显示 正确 的 时 间 ? 先 将 /etc/localtime 删除 ， 然 后 将 
/usr/share/zoneinfo/Asia/Taipei 这 个 档案 复制 成 为 /etc/localtime 即 可 |! 

目前 Linux 系统 上 面 的 时 间 服 务 器 主要 是 以 NTP 为 主 ， 请 问 这 个 daemon 的 主要 配置 文 
件 放 在 哪里 ， 而 该 配置 文件 中 ， 针 对 上 层 time server 的 设 定 参 数 为 何 ? 而 那个 driftfile 
参数 是 干 嘛 用 的 ?在 /etc/ntp.conf 这 个 档案 当中 ， 至 于 上 层 time server 的 设 定 参数 为 
server 啊 ! 那个 driftfile 则 是 用 来 做 为 『 时 间 差 额 」 的 计算 的 ! 该 参数 后 面 接 的 是 一 个 完 
整 路 径 的 文件 名 ， 该 档案 里 面 的 数值 单位 为 百 万 分 之 一 (ppm)。 

请 问 ntptrace 的 功能 为 何 ? 可 以 用 来 追踪 上 层 time server 的 连接 时 间 与 目前 时 间 | 

我 以 date 更 新 了 我 Linux 上 面 的 时 间 后 ， 该 如 何 将 时 间 数 据 写 入 BIOS 内 ? 必须 利用 
hwclock 这 个 程序 来 写 入 ， 利 用 hwclock -w 写 入 BIOS 

在 Linux 上 面 如 何 进行 网 络 校 时 ? 最 简单 的 方法 即 是 使 用 『 ntpdate time.servers.ip && 
hwclock -w J 即 可 ! 


15.6 参考 数据 与 延伸 阅读 


e 注 1 ; 格林 威 治 时 间 的 Wiki 说 明 : http://en.wikipedia.org/wiki/Greenwich_Mean_Time 
。 注 2 ; UTC 时 间 的 Wiki 说 明 : http://en.wikipedia.org/wiki/Coordinated_Universal_Time 
。 注 3 : 台湾 提供 的 几 部 标准 时 间 服 务 器 与 时 间 服 务 器 官网 : 
http://www .stdtime.gov.tw/Time/ntp/resource.htm 
http://www .stdtime.gov.tw/Time/home.htm 
。 注 4 : NTP 的 官方 网 站 : http://www.ntp.org 另 一 个 好 
站 : http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html 
e 由 网 友 李 涛 兄 提 供 的 好 站 : 
http://support.ntp.org/bin/view/Support/TroubleshootingNTP#Section 9.5 
http://www.eecis.udel.edu/~mills/ntp/html/ntpq.html 


2003/08/21 : 首次 完成 2006/12/05 : 将 加 的 文章 移动 到 此 处 2006/12/08 : 将 文章 作 了 个 版 面 
修改 ， 同 时 将 一 些 数据 再 加 强 一 些 。 并 补充 一 些 额外 的 查阅 NTP 的 指令 。2009/04/28 : 将 
offset 的 时 间 单 位 写 错 了 ， 应 该 是 ms 不 是 Us ， 亦 即 10^(-3) 秒 ， 而 不 是 10^(-6) 秒 。 抱 菊 。 
2011/02/18 : 由 读者 李涛 兄 提供 的 资料 ， 发 现 原本 ntpq 的 说 明 反 了 1 * 应 为 作用 中 ， 而 + 是 
较 佳 的 另 一 部 候选 主机 。 2011/03/16 : 将 昌 的 基于 CentOS 4.x 的 文章 移动 到 此 处 
2011/03/18 : 将 一 些 重 复 性 的 数据 汇 整 一 下 ， 不 需要 的 部 分 就 删除 掉 了 ~ 2011/07/28 : 将 基 
于 CentOS 5.x 的 文章 移动 到 此 处 


向 -可 “六 | : /下 记过 。 肥 尔 红 如 这 入 第 二 山 
7 可 HY] Linux 从 人 访 人 落 .他 分 得 永 仅 导 币 二 /中 
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最 近 更 新 日 期 : 2011/07/29 


如 果 想 要 共享 档案 ， 在 Linux 对 Linux 的 环境 下 ， 最 简单 的 方法 就 是 透 过 NIS 这 玩意 儿 了 | 
至 于 Windows 对 Windows 的 环境 下 ， 最 简单 的 方法 则 是 『 网 络 上 的 芳 领 ] 啊 。 md 
区 网 中 有 Windows 也 有 Linux 而 且 想 要 共享 文件 系统 的 话 ， 那 该 怎 办 ? 那 就 使 用 Samba 服 
务 器 吧 ! Samba 可 以 让 Linux 加 入 Windows 的 网 芳 支 持 ， 让 异 质 平台 可 以 共享 文件 系统 ! 
非常 好 用 的 哆 ! 不 仅 如 此 ，Samba 也 可 以 让 Linux 上 面 的 打印 机 成 为 打印 机 服务 器 (Printer 
Servern)。 乌 哥 个 人 觉得 ，Samba 对 于 整个 区 网 的 贡献 丨 的 是 很 大 啦 ! 


e。 16.1 什么 是 SAMBA 
o 16.1.1 SAMBA 的 发 展 历 史 与 名 称 的 由 来 
o 16.1.2 SAMBA 常见 的 应 用 
o 16.1.3 SAMBA 使 用 的 NetBIOS 通讯 协议 
o 16.1.4 SAMBA 使 用 的 daemons 
o 16.1.5 联机 模式 的 介绍 (peer/peer, domain model) 
e 16.2 SAMBA 服务 器 的 基础 设 定 
16.2.1 Samba 所 需 软件 及 其 软件 结构 
16.2.2 基础 的 网 芳 分 享 流 程 与 smb.conf 的 常用 设 定 项 目 : 


O 


O 


@ 服务 器 整体 参数 , 分 享 资源 参数 , 变数 特性 

o 16.2.3 不 需 密码 的 分 享 (security = share, 纯 测试 ) (testparm, smbclient) 

o 16.2.4 需 账号 密码 才 em 分 享 (security = user) (pdbedit, smbpasswd) 

o 16.2.5 设 定 成 为 打印 机 服务 器 (CUPS 系统 ) (cupsaddsmb) 

o 16.2.6 安全 性 的 议题 与 管理 : SELinux, iptables, Samba 内 建 , Quota 

o 16.2.7 主机 安装 时 的 规划 与 中 文 扇 区 挂 载 
e。 16.3 Samba 客户 端 软件 功能 

o 16.3.1 Windows 系统 的 使 用 : WinXP 防火 墙 , port 445 

o 16.3.2 Linux 系统 的 使 用 : smbclient, mount.cifs, nmblookup, smbtree, smbstatus 
。 16.4 以 PDC 服务 器 提供 账号 管理 

o 16.4.1 让 Samba 管理 网 域 使 用 者 的 一 个 实 作 案例 

o 16.4.2 PDC 服务 器 的 建 置 

o 16.4.3 Wimdows XP pro. 的 客户 端 

o 16.4.4 Wimdows 7 的 客户 端 

o 16.4.5 PDC 之 问题 克服 
e 16.5 服务 器 简单 维护 与 管理 

o 16.5.1 服务 器 相关 问题 克服 

o 16.5.2 让 用 户 修改 samba 密码 同时 同步 更 新 /etc/shadow 密码 
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o 16.5.3 利用 ACL 配合 单一 使 用 者 时 的 控 管 
e 16.6 重点 回顾 
。 16.7 本 章 习题 
。 16.8 参考 数据 与 延伸 阅读 
e 16.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=118976 


第 十 六 章 、 文 件 服务 器 之 二 : SAMBA 服务 器 vs 
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6.1 什么 入 SAMBA 


这 个 章节 中 ， 我 们 要 教 大 家 跳 的 是 热情 有 劲 的 巴西 SAMBA 舞蹈 ... 喔 不 一 搞 错 了 一 是 要 向 
家 介绍 SAMBA 这 个 好 用 的 服务 器 啦 ! 喷 1 怪 了 ! 怎么 服务 器 的 名 称 会 使 用 SAMBA 呢 ? 
还 丨 是 怪 怪 的 呢 ! 那么 这 个 SAMBA 服务 器 的 功能 是 什么 呢 ? 了 另外 ， 它 最 早 是 经 由 什么 样 的 
想法 而 开发 出 来 的 呢 ? 底下 就 让 我 们 慢 慢 的 谈 一 谈 吧 ! 


16.1.1 SAMBA 的 发 展 历史 与 名 称 的 由 来 


在 早期 的 网 络 世界 当中 ， 档 案 数 据 在 不 同 主机 之 间 的 传输 大 多 是 使 用 FTP 这 个 好 用 的 服务 器 
软件 来 进行 传送 。 不 过 使 用 FTP 传输 档案 却 有 个 小 小 的 问题 ， 那 就 是 你 无 法 直接 修改 主机 上 
面 的 档案 数据 ! 也 就 是 说 ， 你 想 要 更 改 Linux 主机 上 面 的 某 个 档案 时 ， 你 必须 要 将 该 档案 自 
服务 器 下 载 后 才能 修改 。 也 因此 该 档案 在 服务 器 与 客户 都 会 存在 。 这 个 时 候 ， 万 一 如 果 有 
一 天 你 修改 了 某 个 档案 ， 却 忘记 将 数据 上 传 回 主机 ， 那 么 等 过 了 一 阵子 之 后 ， 呵 呵 ， 你 如 何 
知道 那个 档案 才 是 最 新 的 ? 


e@ 让 档案 在 两 部 主机 之 问 直 接 修改 : NFS 与 CIFS 


既然 有 这 样 的 问题 ， 那 么 好 吧 ， 我 可 不 可 以 在 客户 端的 机 器 上 面 直接 使 用 服务 器 上 面 的 档 
案 ， 如 果 可 以 在 客户 端 直接 进行 服务 器 端 档 案 的 存 取 ， 那 么 我 在 客户 端 就 不 需要 存在 该 档案 
数据 哩 ， 也 就 是 说 ， 我 只 要 有 Server 上 面 的 档案 资料 存在 就 可 以 啦 ! 有 没有 这 样 的 文件 系统 
啊 ! 很 高 兴 的 是 ， 第 十 三 章 的 NFS 就 是 这 样 的 文件 系统 之 一 啦 ! 我 只 要 在 客户 端 将 Server 
所 提供 分 享 的 目录 挂 载 进来 ， 那 么 在 客户 端的 机 器 上 面 就 可 以 直接 取 用 Server 上 的 档案 资料 
史 ， 而 有 全， 该 数据 就 像 是 我 客户 端 上 面 的 partition 一 般 ， 站 是 好 用 | 


而 除了 可 以 让 Unix Like 的 机 器 互相 分 享 档案 的 NFS 服务 器 之 外 ， 在 微软 (Microsoft) 操作 系 
统 上 面包 有 类 似 的 文件 统 ， 那 就 是 Common Internet File System, CIFS 这 个 吹 吹 啦 ! CIFS 
最 简单 的 想法 就 是 目前 常见 的 『 网 络 上 的 芳 令 」 咯 ! Windows 系统 的 计算 机 可 以 透 过 桌面 上 
『 网 络 上 的 芳 邻 」 来 分 享 别人 所 提供 的 档案 数据 哩 ! 站 是 方便 。 不 过 ，NFS 仅 能 让 Unix 机 
器 沟通 ，CIFS 只 能 让 Windows 机 器 沟通 。 伤 脑筋 ， 那 么 有 没有 让 Windows 与 Unix-Like 这 
两 个 不 同 的 平台 相互 分 享 档案 数据 的 文件 系统 呢 ? 


利用 封包 侦 测 逆向 工程 发 展 的 SMB Server 


在 1991 年 一 个 名 叫 Andrew Tridgell 博士 班 研究 生 就 有 这 样 的 困扰 ， 他 手 上 有 三 部 机 器 ， 分 
别 是 跑 DOS 的 个 人 计算 机 、DEC 公 司 的 Digital Unix 系统 以 及 Sun 的 Unix 系统 。 在 当时 ， 
DEC 公司 有 发 展 出 一 套 称 为 PATHWORKS 的 软件 ， 这 套 软 件 可 以 用 来 分 享 DEC 的 Unix 与 
TD 文 两 个 操作 系统 的 档案 数据 ， 可 惜 让 Tridgell 觉得 较 困 扰 的 是 ，Sun 的 
Unix 无 法 藉 由 这 个 软件 来 达到 数据 分 享 的 目的 ( 注 1)。 


这 个 时 候 Tridgell 就 想 说 : 『 号 ! 既然 这 两 部 系统 可 以 相互 沟通 ， 没 道理 Sun 就 必需 这 么 苦 
命 吧 ? 可 不 可 以 将 这 两 部 系统 的 运作 原理 找 出 来 ， 然 后 让 Sun 这 部 机 器 也 能 够 分 享 档案 数据 
呢 ?4 ， 为 了 解决 这 样 的 的 问题 ， 他 老兄 就 自行 写 了 个 人 去 侦 测 当 DOS 与 DEC 的 
系统 在 进行 数据 分 享 传送 时 所 使 用 到 的 通讯 协议 信息 ， 然 后 将 这 些 重 要 的 信息 撕 取 下 
， 并 且 基 于 上 述 所 找到 的 通讯 协议 而 开发 出 Server Message Block (SMB) 这 个 文件 系 
而 就 是 这 套 SMB 软件 就 能 够 让 Unix 与 DOS 互相 的 分 享 数据 嘿 ! 


Tips: 再 次 的 给 他 强调 一 次 ， 在 Unix Like 上 面 可 以 分 享 档案 数据 的 file system 是 NFS， 那 么 
在 Windows 上 面 使 用 的 『 网 络 上 的 芳 邻 上 所 使 用 的 文件 系统 则 称 为 Common Internet File 
System, CIFS 
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。 取 名 SAMBA 的 主因 ^^ 


既然 写成 了 软件 ， 想 一 想 ， 总 是 需要 注册 一 下 商标 吧 ! 因此 Tridgell 就 去 申请 了 SMBServer 
(Server Message Block 的 简写 ) 这 个 名 字 来 做 为 他 撰写 的 这 个 软件 的 商标 ， 可 惜 的 是 ， 因 为 
SMB 是 没有 意义 的 文字 ， 因 此 没有 办 法 达成 注册 。 既 然 如 此 的 话 ， 那 么 能 不 能 在 字典 里 面 找 
到 相关 的 字 词 可 以 做 为 商标 来 注册 呢 ? 翻 了 老 半 天 ， 呵 呵 ! 这 个 SAMBA 刚好 含有 SMB ， 
又 是 热情 有 劲 的 拉丁 舞 踏 的 名 称 ， 不 然 就 用 这 个 名 字 来 做 为 商标 好 了 ! 这 成 为 我 们 今天 所 使 
用 的 SAMBA 的 名 称 由 来 啦 ! ^ ^ 


16.1.2 SAMBA 常见 的 应 用 


由 上 面 说 明 的 SAMBA 发 展 缘由 ， 你 就 应 该 不 难 知 道 ，SAMBA 最 初 发 展 的 主要 目 就 是 要 用 
来 沟通 Windows 与 Unix Like 这 两 个 不 同 的 作业 平台 ， 那 么 SAMBA 可 以 进行 哪些 动作 呢 ? 
想 一 想 网 芳 能 做 的 吧 | 


。 分 享 档案 与 打印 机 服务 ; 

。 可 以 提供 用 户 登 入 SAMBA 主机 时 的 身份 认证 ， 以 提供 不 同 身份 者 的 个 别 数据 ; 
e 可 以 进行 Windows 网 络 上 的 主机 名 解析 (NetBIOS name) 

e。 可 以 进行 装置 的 分 享 (例如 Zip, CDROM...) 


底下 我 们 来 谈 几 个 SAMBA 服务 器 的 应 用 实例 吧 ! 
e@ 利用 软件 直接 编 修 WWW 主机 上 面 的 网 页 数据 


相信 很 多 人 都 是 利用 个 人 计算 机 将 网 页 制作 完毕 之 后 ， 再 以 类 似 FTP 之 类 的 服务 将 网 页 上 传 
到 WWW 主机 的 ， 但 这 样 有 个 困扰 ， 那 就 是 同时 在 客户 端 与 WWW 主机 上 头 都 有 一 份 网 页 
数据 ， 常 常会 忘记 哪 一 份 是 最 新 的 ， 最 麻烦 的 是 ， 有 时 候 下 载 下 来 的 档案 已 经 经 过 好 多 修改 


了 ， 却 在 下 次 的 FTP 作业 ， 不 小 心 又 下 载 一 次 昌 数 据 ， 结 果 将 已 经 修改 过 的 数据 履 盖 过 去 
天 呐 ! 又 要 重 写 一 遍 ..... 站 是 讨厌 |! 


如 果 你 有 安装 SAMBA 服务 器 的 设 定 的 话 ， 那 么 透 过 下 网 芳 4 的 功能 ， 直 接 联 机 远程 服务 器 
所 提供 的 目录 ， 如 此 一 来 你 可 以 直接 在 你 的 Po 案 数 据 ， 只 有 一 份 
正确 的 数据 而 已 喔 1 这 就 有 点 像 是 『 在 线 编 修 」 呢 ， 一 修改 完成 ， 在 Internet 上 面 可 以 立刻 
检验 ， 方 便 的 很 响 ! 


e 做 成 可 直接 联机 的 文件 服务 器 


在 岛 哥 过 去 待 过 的 实验 室 中 ， 由 于 计算 机 数量 不 多 ， 研 究 生 常常 会 使 用 到 不 同 的 计算 机 (因为 
大 家 都 得 抢 没有 人 用 的 计算 机 啊 ! ) ， 此 外 ， 也 常常 有 研究 生 拿 自己 的 NoteBook 来 工作 ， 因 
此 ， 有 些 团队 的 数据 就 分 散在 各 个 计算 机 当中 ， 使 用 上 相当 的 不 方便 。 这 个 时 候 ， 鸟 哥 就 使 
用 SAMBA 将 硬盘 空间 分 享 出 来 ， 由 于 使 用 者 要 登入 SAMBA 这 个 服务 器 主机 时 需要 输入 用 
户 数据 (账号 与 密码 ) ， 而 不 同 的 登入 者 会 取得 不 一 样 的 目录 资源 ， 所 以 可 以 避免 自己 的 数据 
在 公用 计算 机 上 面 被 宇 视 ， 此 外 ， 在 不 同 的 公用 计算 机 上 面 都 可 以 登入 SAMBA 主机 ， 数 据 
的 使 用 上 面 真 是 相当 的 棒 啊 ! 


e。 打印 机 服务 器 


SAMBA 除了 分 享 文件 系统 外 ， 也 可 以 分 享 打 印 机 吗 ， 乌 可 的 研究 室 好 几 部 计算 机 就 是 直接 以 
Linux 分 享 的 打印 机 来 印 制 报告 的 。 你 会 说 『 啊 Windows 也 可 以 办 的 到 啊 ! 没有 什么 了 不 起 
的 1J」 是 啊 。 但 是 鸟 哥 认为 ， 用 Linux 做 为 服务 器 主机 时 毕竟 还 是 比较 稳定 一 点 ， 可 以 24 小 
时 且 全 年 无 休 的 努力 工作 呐 。 此 外 ， 因 为 目前 透 过 『 网 络 上 的 芳 邻 」 来 攻击 局 域 网 络 的 
Windows 操作 系统 的 计算 机 病毒 实在 是 太 多 了 ， 了 防不胜防，Linux 对 于 这 样 的 攻击 并 没有 很 
大 的 影响 (因为 常见 的 攻击 手法 均 针 对 Windows 而 来 ~)， 所 以 也 比较 安全 一 些 说 ~ 


SAMBA 的 应 用 所 广泛 的 ， 尤 其 对 于 局 域 网 络 内 的 计算 机 来 说 ， 更 是 一 项 不 可 多 得 的 好 用 的 服 
务 器 ， 虽 然 或 许 你 会 说 ，SAMBA 的 功能 不 过 是 模仿 Windows 的 网 芳 以 及 AD 相关 的 软件 ， 
那 我 直接 使 用 Windows 不 就 OK 了 ? 可 惜 的 是 ，Windows XP 对 于 网 芳 的 联机 限制 依 版 本 而 
有 所 不 同 ， 以 企业 常见 的 专业 版 (Professional) 来 说 ， 他 仅 能 提供 最 多 同时 十 个 联机 到 网 芳 
的 联机 能 力 ， 这 ... 不 太 够 用 吧 ! 所 以 嚼 ，SAMBA 稳定 、 可 靠 又 没有 限制 联机 数 ， 值 得 学 习 

吧 |1 人 人 1 更 多 的 应 用 你 可 以 自行 发 握 呐 ! 


16.1.3 SAMBA 使 用 的 NetBIOS 通讯 协议 


事实 上 ， 就 像 NFS 是 架构 在 RPC Server 上 面 一 样 ，SAMBA 这 个 文件 系统 是 架构 在 
NetBIOS (Network Basic Input/Output System, NetBIOS) 这 个 通讯 协议 上 面 所 开发 出 来 的 。 
既然 如 此 ， 我 们 当然 就 要 了 解 一 下 NetBIOS 虽 |! 


最 早 IBM 发 展 出 NetBIOS 的 目的 仅 是 要 让 局 域 网 络 内 少数 计算 机 进行 网 络 链接 的 一 个 通讯 协 
议 而 已 ， 所 以 考虑 的 角度 并 不 是 针对 大 型 网 络 ， 因 此 ， 这 个 NetBIOS 是 无 法 跨 路 由 的 
(Router/ Gateway)。 这 个 NetBIOS 在 局 域 网 络 内 实在 是 很 好 用 ， 所 以 微软 的 网 络 架 构 就 使 
用 了 这 个 吹 吹 来 进行 沟通 的 呐 ! 而 SAMBA 最 早 发 展 的 时 候 ， 其 实 是 想 要 让 Linux 系统 可 以 
加 入 Windows 的 系统 当中 来 分 享 使 用 彼此 的 档案 数据 的 ， 所 以 当然 SAMBA 就 架构 在 
NetBIOS 发 展 出 来 嘿 。 


不 过 NetBIOS 是 无 法 跨 路 由 的 ， 因 此 使 用 NetBIOS 发 展 起 来 的 服务 器 理论 上 也 是 无 法 跨越 
路 由 的 呢 ! 那么 该 服务 器 的 使 用 范围 不 就 受 限 相当 的 多 了 ?好 在 ， 我 们 还 有 所 谓 的 NetBIOS 
over TCP/IP 的 技术 呢 ! 这 是 什么 样 的 技术 啊 ? 


举 个 例子 来 说 好 了 ， 我 们 知道 TCP/IP 是 目前 网 络 连接 的 基本 协议 ， 现 在 我 们 将 NetBIOS 想 
成 是 一 封 明 信 片 ， 这 个 明信片 只 能 让 你 自己 欣赏 而 已 ， 如 果 今 天 我 们 要 将 这 个 明信片 送 到 远 
方 的 朋友 那 边 时 ! 就 需要 透 过 邮件 系统 (例如 邮局 啦 、 国 际 快递 啦 等 等 的 ) 来 传送 了 ! 这 个 
TCP/IP 就 可 以 视 为 邮件 传递 系统 啦 ! 透 过 这 个 NetBIOS over TCP/IP 的 技术 ， 我 们 就 可 以 跨 
路 由 的 使 用 SAMBA 服务 器 所 提供 的 功能 咯 ! 当然 啦 ， 目 前 SAMBA 还 是 比较 广泛 的 使 用 在 
LAN 里 面 说 。 


Tips: 或 许 你 会 发 现在 Windows 网 络 设 定 里 面 常 常 看 到 NetBEUI 这 个 吹 吹 ， 那 是 什么 呢 ? 那 
个 是 NetBIOS Extened User Interface 的 简写 ， 也 是 IBM 在 NetBIOS 发 展 出 来 之 后 的 改良 版 
本 。 虽 然 这 两 者 的 技术 不 太 相 同 ， 不 过 ， 我 们 只 要 知道 一 些 简 单 的 概念 就 可 以 了 ! 所 以 ， 在 
这 里 我 们 不 针对 NetBEUI 来 介绍 。 


16.1.4 SAMBA 使 用 的 daemons 


NetBIOS 当初 发 展 时 就 着 眼 在 局 域 网 络 内 的 快速 数据 交流 ， 而 因为 是 定义 在 局 域 网 络 内 ， 
此 他 并 没有 使 用 类 似 TCP/IP 之 类 的 传输 协议 ， 也 就 不 需要 IP 的 设 定 。 如 此 一 来 数据 如 何在 
两 部 主机 之 间 交 流 呢 ? 其 实 主机 在 NetBIOS 协议 当中 的 定义 为 使 用 TNetBIOS NameJd ， 每 
一 部 主机 必须 要 有 不 同 的 NetBIOS Name 才 行 ， 而 档案 数据 就 是 在 不 同 的 NetBIOS name 
之 间 沟 通 哩 1 我 们 以 一 个 网 芳 的 设 定 来 作 简单 的 说 明 好 了 : 


1， 取 得 对 方 主机 的 NetBIOS name 定位 该 主机 所 在 : 


当 我 们 想 要 登入 某 部 Windows 主机 使 用 他 所 提供 的 档案 数据 时 ， 必 需要 加 入 该 
Windows 主机 的 群 组 (Workgroup)， 并 且 我 们 的 机 器 也 必需 要 设 定 一 个 主机 名 ， 注 意 
嘱 ， 这 个 主机 名 跟 Hostname 是 不 一 样 的 ， 因 为 这 个 主机 名 是 架构 在 NetBIOS 协议 上 


的 ， 我 们 可 以 简单 的 称呼 他 为 NetBIOS Name。 在 同一 个 群 组 当中 ，NetBIOS Name 必 
需要 是 独一无二 的 喔 ! 


2.， 利用 对 方 给 予 权 限 存 取 可 用 资源 : 


在 我 们 找到 该 主机 名 后 ， 是 否 能 登入 该 对 方 主机 或 者 是 取 用 对 方 主机 所 提供 的 资源 ， 还 
要 看 对 方 Windows 主机 有 没有 提供 我 们 使 用 的 权限 呐 ! 所 以 ， 并 不 是 登入 该 Windows 
主机 之 后 我 们 就 可 以 无 限制 的 取 用 该 主机 的 档案 资源 了 。 也 就 是 说 ， 如 果 对 方 主机 允许 
你 登入 ， 但 是 却 没 有 开放 任何 资源 让 你 取 用 ， 呵 呵 ， 登 入 主机 也 无 法 查看 对 方 的 硬盘 里 
面 的 数据 的 啦 ! 


我 们 的 SAMBA 则 是 透 过 两 支 服务 来 控制 这 两 个 步骤 ， 分 别 是 : 


e。 nmbd : 这 个 daemon 是 用 来 管理 工作 组 啦 、NetBIOS name 啦 等 等 的 解析 。 主 要 利用 
UDP 协议 开启 port 137, 138 来 负责 名 称 解 析 的 任务 ; 


。 smbd : 这 个 daemon 的 主要 功能 就 是 用 来 管理 SAMBA 主机 分 享 的 目录 、 档 案 与 打印 机 
等 等 。 主 要 利用 可 靠 的 TCP 协议 来 传输 数据 ， 开 放 的 端口 为 139 及 445( 不 一 定 存在 ) 。 


所 以 哩 ，SAMBA 每 次 启动 至 少 都 需要 有 这 两 个 daemons 喔 ! 这 可 不 要 忘记 鹃 1 而 当 我 们 局 
动 了 SAMBA 之 后 ， 主 机 系统 就 会 启动 137, 138 这 两 个 UDP 及 139 这 一 个 TCP 埠 口 ， 这 也 
不 要 忘记 了 ! 因为 后 面 设 定 防火 墙 的 时 候 ， 还 会 使 用 到 这 三 个 port 的 呢 ! 


16.1.5 联机 模式 的 介绍 (peer/peer, domain model) 


SAMBA 服务 器 的 应 用 相当 的 广泛 ， 而 且 可 以 依照 不 同 的 网 域 联机 方式 ， 与 不 同 的 用 户 账号 密 
码 的 控 管 方式 来 进行 分 类 。 例如 最 常见 的 Workgroup 及 Domain 两 种 方式 的 联机 模式 呢 ! 底 
下 我 们 就 是 要 来 谈 一 谈 这 两 种 最 常见 的 局 域 网 络 的 联机 模式 : peer/peer (对 等 模式 ) 及 
domain model ( 主 控 模式 )。 


。 peer/peer (Workgroup model, 对 等 模式 ) : 


peer 有 同等 、 同 草 的 意思 存在 ， 所 以 由 字面 上 来 看 ，peerpeer 当然 就 是 指 两 部 主机 的 地 位 相 
等 哆 1 这 是 什么 意思 呢 ? 简单 的 说 ， 假 如 在 局 域 网 络 里 面 的 所 有 PC 均 可 以 在 自己 的 计算 机 
上 面 管理 自己 的 账号 与 密码 ， 同时 每 一 部 计算 机 也 都 具有 独力 执行 各 项 软件 的 能 力 ， 只 是 藉 
由 网 络 将 各 个 PC 链接 在 一 起 而 已 的 一 个 架构 ， 所 以 ， 每 一 部 机 器 都 是 可 以 独立 运作 的 喔 ! 


这 样 的 架构 在 目前 小 型 办 公 室 里 面 是 最 常见 的 。 例 如 办 公 室 里 面 有 十 个 人 ， 每 个 人 此 上 可 能 

都 安装 有 一 套 Windows 操作 系统 的 个 人 计算 机 ， 而 这 十 部 计算 机 都 可 以 独立 进行 办 公 室 软件 
的 执行 啊 、 独 立 上 网 啊 、 独 立 玩 游戏 啊 等 等 的 ， 因 为 这 十 部 计算 机 都 可 以 独立 运作 ， 所 以 不 
会 有 一 部 计算 机 关 掉 ， 其 他 的 计算 机 就 无 法 工作 的 情况 发 生 ， 这 就 是 peer/peer 的 典型 架构 。 


那 在 这 样 的 架构 底下 ， 要 如 何 透 过 网 络 联机 来 取得 对 方 的 数据 呢 ? 举例 来 说 ， 以 下 图 的 架构 
为 例 ， 在 这 样 的 架构 下 ， 假 设 vbird (PC A) 写 了 一 个 报告 书 ， 而 dmtsai (PC B) 想 要 以 网 络 直 
接 取 用 这 个 报告 书 时 ， 那 dmtsai 就 必须 要 知道 vbird 使 用 的 密码 ， 并 且 vbird 必须 要 在 PC A 
上 面 启用 Windows 的 『 资 源 共 享 (或 者 是 共享 )] 之 后 ， 才 能 够 让 dmtsai 联机 进入 喔 (此 时 
PC A 为 Server) ! 而 且 ，vbird 可 以 随时 依照 自己 的 喜好 来 更 改 自己 的 账号 与 密码 ， 而 不 受 
dmtsai 的 影响 。 不 过 ，dmtsai 就 得 要 取得 vbird 同意 取得 新 的 账号 与 密码 后 ， 才 能 够 登入 PC 
A 喔 ! 反 过 来 说 ， 同 样 的 ，vbird 要 取得 dmtsai 的 数据 时 ， 同 样 需 要 取得 PC B 的 账号 与 密 
码 后 ， 才 能 够 顺利 登入 啊 (此 时 PC A 为 Client 喔 ) ! 因为 PC A, PCB 的 角色 与 地 位 都 同时 可 
以 为 Client 与 Server ， 所 以 就 是 peer/peer 的 架构 了 | 











要 取得 PCB 的 密码 _ 
才 可 登入 PCB PC B 的 设 定 
ID: dmtsal 
PW: 54321 


PC 的 设 定 
ID: vbird 


| 
pW: 12345 | 


要 取得 PC A 的 密 
才 可 登入 PC 


PCA PCB 图 16.1-1、peer/peer 联机 的 示意 


-一 


使 用 peerpeer 的 架构 的 好 处 是 每 部 计算 机 均 可 以 独立 运作 ， 而 不 受 他 人 的 影响 ! 不 过 ， 缺 
点 就 是 当 整 个 网 域内 的 所 有 人 员 都 要 进行 数据 分 享 时 ， 光 是 知道 所 有 计算 机 里 面 的 账号 与 密 
码 ， 就 会 很 伤 脑筋 了 ! 所 以 ，Peer/Peer 的 架构 是 比较 适合 (1) 小 型 的 网 域 ， 或 者 是 (2) 没 有 
需要 常常 进行 档案 数据 分 享 的 网 络 环境 ， 或 者 是 (3) 每 个 使 用 者 都 独自 拥有 该 计算 机 的 拥有 权 
(就 是 说 ， 该 计算 机 是 用 户 的 ， 而 不 是 公用 的 啦 ! ) 而 ， 如 果 该 单位 的 所 有 PC 均 是 公有 的 ( 例 
如 学 校 的 计算 机 教室 环境 )， 而 且 你 需要 统一 控 管 整个 网 域 里 面 的 账号 与 密码 的 话 ， 那 就 得 使 
用 底下 的 domain models 了 |! 


。 domain model ( 主 控 模 式 ) 


假设 今天 你 服务 的 单位 有 10 部 计算 机 ， 但 是 你 的 单位 有 20 个 员工 ， 这 也 就 是 说 ， 这 20 个 
员工 轮流 抢 着 用 这 10 部 计算 机 。 如 果 每 部 计算 机 都 如 同 peer/peer 的 架构 时 ， 那 么 每 部 计算 
机 都 需要 输入 这 20 个 员工 的 账号 与 密码 来 提供 他 们 登入 喔 。 而 有 全 ， 今 天 假如 有 个 员工 想 要 变 
更 自己 的 密码 时 ， 就 需要 到 10 台 计 算 机 上 面 进 行 密码 变更 的 作业 ! 否则 他 就 必须 要 记得 这 
10 部 计算 机 里 面 ， 那 一 部 计算 机 是 记忆 那 一 个 密码 .… 好 烦 那 ~ 


如 果 上 述 是 这 样 的 情况 ， 使 用 peerpeer 架构 就 不 是 一 个 好 方法 了 ! 这 个 时 候 就 需要 藉 由 
domain model 来 达成 你 的 需求 啦 ! 所 谓 的 domain model 概念 其 实 也 很 简单 ， 了 既然 使 用 计算 
机 资源 需要 账号 与 密码 ， 那 么 我 将 所 有 的 账号 与 密码 都 放置 在 一 部 主 控 计算 机 (Primary 
Domain Controller, PDC) 上 面 ， 在 我 的 网 域 里 面 ， 任 何人 想 要 使 用 任何 计算 机 时 ， 都 需要 在 
屏幕 前 方 输入 账号 与 密码 ， 然 后 通通 藉 由 PDC 服务 器 的 辨识 后 ， 才 给 予 适当 的 权限 。 也 就 是 
说 ， 不 同 的 身份 还 具有 不 一 样 的 计算 机 资源 权限 就 是 了 ! 例如 底下 的 图 示 : 


PDC ( 账号 座 码 设 定 ) 
vbird/12343 
dmtsai!S4321 
dicl24680 
class/08642 





图 16.1-2、domain 
model 联机 的 示意 图 


PDC 服务 器 控 管 整个 网 域 里 面 的 各 个 机 器 (PC A ~ PC D) 的 账号 与 密码 的 信息 ， 假 如 今天 有 
个 使 用 者 账号 名 称 为 vbird ， 且 密码 为 12345 时 ， 他 不 论 使 用 哪 一 部 计算 机 (PC A ~ PC D) 
只 要 在 屏幕 前 方 输入 vbird 与 他 的 密码 ， 则 该 机 器 会 先 到 PDC 上 面 查验 是 否 有 vbird 以 及 
Vbird 的 密码 ， 并 且 PDC 主机 会 给 予 vbird 这 个 用 户 相关 的 计算 机 资源 权限 。 当 vbird 在 任何 
一 部 主机 上 面 登 入 成 功 后 ， 他 就 可 以 使 用 相关 的 计算 机 资源 了 ! 

这 样 的 架构 比较 适合 人 来 人 往 的 企业 架构 ， 当 系统 管理 员 要 控 管 新 进 人 员 的 计算 机 资源 使 用 
权时 ， 可 以 直接 针对 PDC 来 修改 就 好 了 ， 不 需要 每 一 部 主机 都 去 修 修改 改 的 ， 对 于 系统 管理 
员 来 说 ， 这 样 的 架构 在 控 管 账号 资源 上 ， 当 然 是 比较 简单 的 啦 ! 


各 种 架构 适用 的 环境 与 适用 的 人 都 不 相同 ， 并 没有 那个 是 最 好 啦 ! 请 依照 你 的 工作 环境 来 选 
择 联机 的 模式 嚼 1 当然，SAMBA 可 以 达到 上 述 两 种 模式 的 啦 | 底下 我 们 会 分 别 来 介绍 喔 ! 


16.2 SAMBA 服务 器 的 基础 设 定 


SAMBA 这 个 软件 几乎 在 所 有 的 Linux distributions 上 面 都 有 提供 ， 因 为 即使 你 的 Linux 仅 做 
为 个 人 桌面 计算 机 使 用 时 ， 你 依旧 可 能 会 需要 联机 到 远程 的 Windows 网 芳 ， 那 个 时 候 就 得 要 
samba 提供 的 客户 端 软 件 功能 嘿 ! 因此 你 只 要 直接 安装 系统 上 面 提 供 的 默认 samba 版 本 即 
可 。 底 下 我 们 会 先 介绍 samba 服务 器 ， 然 后 再 介绍 客户 端 功 能 喔 ! 


16.2.1 Samba 所 需 软 件 及 其 软件 结构 


目前 常见 的 samba 版 本 为 3.X 版 ， 曙 版 的 2.X 版 在 设 定 上 有 点 不 一 样 ， 因 此 在 进入 设 定 前 请 
先 确 认 你 的 samba 版 本 。 咱们 的 CentOS 6.x 主要 提供 的 是 Samba 3.x 的 版 本 ， 不 过 也 有 释 
出 4.X 的 版 本 (samba4)， 我 们 这 里 主要 介绍 的 是 预 设 的 3.x 版 本 的 。 那 么 你 需要 什么 软件 

呢 ? 基 本 上 有 这 些 : 


。 samba : 这 个 软件 主要 提供 了 SMB 服务 器 所 需 的 各 项 服务 程序 (smbd 及 nmbd)、 的 文 
件 档 、 以 及 其 他 与 SAMBA 相关 的 logrotate 配置 文件 及 开机 默认 选项 档案 等 ; 


e samba-client : 这 个 软件 则 提供 了 当 Linux 做 为 SAMBA Client 端 时 ， 所 需要 的 工具 指 
令 ， 例 如 挂 载 SAMBA 文件 格式 的 mount.cifs 、 取 得 类 似 网 芳 相 关 树 形 图 的 smbtree 等 


A 


等 ; 


e samba-common : 这 个 软件 提供 的 则 是 服务 器 与 客户 端 都 会 使 用 到 的 数据 ， 包 括 
SAMBA 的 主要 配置 文件 (smb.conf)、 语 法 检验 指令 (testparm) 等 等 ; 


这 三 个 软件 你 都 得 要 安装 才 行 喔 ! 如 果 尚 未 安装 的 话 ， 使 用 yum 去 装 好 它 吧 ! 安装 完毕 之 
后 ， 你 可 以 依 序 察看 一 下 Samba 的 软件 结构 喔 ! 与 它 相关 的 配置 文件 基本 上 有 这 些 : 


。 /etc/samba/smb.conf : 这 是 Samba 的 主要 配置 文件 ， 基 本 上 ， 咱 们 的 Samba 就 仅 有 
这 个 配置 文件 而 已 ， 且 这 个 配置 文件 本 身 就 是 很 详细 的 说 明文 件 了 ， 请 用 vim 去 查阅 它 
吧 | 主要 的 设 定 项 目 分 为 服务 器 的 相关 设 定 (global)， 如 工作 组 、NetBIOS 名 称 与 密码 等 
级 等 ， 以 及 分 享 的 目录 等 相关 设 定 ， 如 实际 目录 、 分 享 资 源 名 称 与 权限 等 等 两 大 部 分 。 


。 /etc/samba/lImhosts : 早期 的 NetBIOS name 需 额 外 设 定 ， 因 此 需要 这 个 Imhosts 的 
NetBIOS name 对 应 的 IP 档 。 事实 上 它 有 点 像 是 /etc/hosts 的 功能 ! 只 不 过 这 个 
Imhosts 对 应 的 主机 名 是 NetBIOS name 喔 ! 不 要 跟 /etc/hosts 搞 混 了 ! 目前 Samba 预 
设 会 去 使 用 你 的 本 机 名 称 (hostname) 作为 你 的 NetBIOS name， 因 此 这 个 档案 不 设 定 也 
无 所 谓 。 


e /etc/sysconfig/samba : 提供 启动 smbd, nmbd 时 ， 你 还 想 要 加 入 的 相关 服务 参数 。 


/etc/samba/smbusers : 由 于 Windows 与 Linux 在 管理 员 与 访客 的 账号 名 称 不 一 致 ， 例 
如 : administrator (windows) 及 root(linux)， 为 了 对 应 这 两 者 之 间 的 账号 关系 ， 可 使 用 
这 个 档案 来 设 定 

/var/lib/samba/private/{passdb.tdb,secrets.tdb} : 管理 Samba 的 用 户 账号 /密码 时 ， 会 用 
到 的 数据 库 档 案 ; 

/usr/share/doc/samba-< 版 本 > : 这 个 目录 包含 了 SAMBA 的 所 有 相关 的 技术 手册 喔 ! 也 
就 是 说 ， 当 你 安装 好 了 SAMBA 之 后 ， 你 的 系统 里 面 就 已 经 含有 相当 丰富 而 完整 的 
SAMBA 使 用 手册 了 ! 值得 高 兴 吧 ! ^ ^， 所 以 ， 赶 紧 自 行 参 考 喔 ! 


至 于 常用 的 脚本 文件 案 方 面 ， 若 分 为 服务 器 与 客户 端 功能 ， 则 主要 有 底下 这 几 个 数据 : 


/usrsbin/smbd,nmbd} : 服务 器 功能 ， 就 是 最 重要 的 权限 管理 (smbd) 以 及 NetBIOS 
name 查询 (nmbd) 两 个 重要 的 服务 程序 ; 


/usr/bin/{tdbdump,tdbtool} : 服务 器 功能 ， 在 Samba 3.0 以 后 的 版 本 中 ， 用 户 的 账号 与 密 
码 参数 已 经 转 为 使 用 数据 库 了 1 Samba 使 用 的 数据 库 名 称 为 TDB (Trivial DataBase)。 
既然 是 使 用 数据 库 ， 当 然 要 使 用 数据 库 的 控制 指令 来 处 理 史 。tdbdump 可 以 察看 数据 库 
的 内 容 ，tdbtool 则 可 以 进入 数据 库 操作 接口 直接 手动 修改 帐 密 参 数 。 不 过 ， 你 得 要 安装 
tdb-tools 这 个 软件 才 行 ; 


/usr/bin/smbstatus : 服务 器 功能 ， 可 以 列 出 目前 Samba 的 联机 状况 ， 包括 每 一 条 
Samba 联机 的 PID, 分 享 的 资源 ， 使 用 的 用 户 来 源 等 等 ， 让 你 轻松 管理 Samba 啦 ; 


/usr/bin/{smbpasswd,pdbedit} : 服务 器 功能 ， 在 管理 Samba 的 用 户 账号 密码 时 ， 早 期 
是 使 用 smbpasswd 这 个 指令 ， 不 过 因为 后 来 使 用 TDB 数据 库 了 ， 因 此 建议 使 用 新 的 
pdbedit 指令 来 管理 用 户 数 据 ; 


/usr/bin/testparm : 服务 器 功能 ， 这 个 指令 主要 在 检验 配置 文件 smb.conf 的 语法 正确 与 
否 ， 当 你 编辑 过 smb.conf 时 ， 请 务必 使 用 这 个 指令 来 检查 一 次 ， 避 免 因 为 打字 错误 引起 
的 困扰 啊 ! 


/sbin/mount.cifs : 客户 端 功 能 ， 在 Windows 上 面 我 们 可 以 设 定 『 网 络 驱 动 器 机 J 来 连接 
到 自己 的 主机 上 面 。 在 Linux 上 面 ， 我 们 则 是 透 过 mount (mount.cifs) 来 将 远程 主机 分 享 
的 档案 与 目录 挂 载 到 自己 的 Linux 主机 上 面 哪 1 


/usrbin/smbclient : 客户 端 功 能 ， 当 你 的 Linux 主机 想 要 藉 由 『 网 络 上 的 芳 邻 」 的 功能 来 
查看 别 台 计算 机 所 分 享 出 来 的 目录 与 装置 时 ， 就 可 以 使 用 smbclient 来 查看 啦 ! 这 个 指令 
也 可 以 使 用 在 自己 的 SAMBA 主机 上 面 ， 用 来 查看 是 否 设 定 成 功 哩 ! 


/usrbin/nmblookup : 客户 端 功能 ， 有 点 类 似 nslookup 啦 ! 重点 在 查 出 NetBIOS name 
就 是 了 。 


e /usr/bin/smbtree : 客户 端 功能 ， 这 玩意 就 有 点 像 Windows 系统 的 网 络 上 的 芳 邻 显示 的 结 
果 ， 可 以 显示 类 似 『 靠 近 我 的 计算 机 J 之 类 的 数据 ， 能 够 查 到 | 
状 目录 分 布 图 ! 


大 致 的 软件 结构 就 是 这 样 ， 底 下 就 准备 来 讲 一 个 简单 的 案例 吧 ! 这样 比 较 好 介绍 配置 文件 项 
目 啦 ! 


16.2.2 基础 的 网 芳 分 享 流程 与 smb.conf 的 常用 设 定 项 目 


既然 Samba 是 要 加 入 Windows 的 网 芳 服 务 当 中 ， 所 以 它 的 设 定 方式 应 该 是 要 与 网 芳 差 不 多 
才 是 。 所 以 我 们 先 来 聊 一 聊 Windows 的 一 些 网 芳 设 定 方法 再 说 。 在 早期 Windows 的 网 芳 设 
定 丨 是 很 简单 ， 不 过 也 因为 太 简单 ， 所 以 产生 的 安全 问题 可 是 相当 的 麻烦 的 。 后 来 在 
人 
设 限 制 常常 会 是 这 样 的 : 


。 服务 器 与 客户 端 之 间 必 须要 在 同一 个 网 域 当中 (否则 需要 修改 Windows 预 设 防火 墙 ) ; 
最 好 设 定 为 同一 工作 组 ; 

主机 的 名 称 不 可 相同 (NetBIOS name) ; 

专业 版 Windows XP 最 多 仅 能 提供 同时 10 个 用 户 联机 到 同一 台 网 芳 服务 器 上 。 


六 
工作 组 与 主机 名 的 设 定 ， 你 可 以 在 『 我 的 计算 机 J 右键 单 击 ， 选 择 内 容 后 去 修订 相关 的 设 定 
值 。 当 你 的 Windows 主机 群 符合 上 述 的 条 件 后 ， 就 很 容易 处 理 网 芳 分 享 的 工作 啦 ! 分 享 的 步 
又 一 般 是 这 样 的 : 


1， 叫 出 档案 总 管 ， 然 后 在 要 分 享 的 目录 、 磁 盘 或 装置 (如 打印 机 ) 上 面 按 下 右键 ， 选 择 『 共 
享 」， 然 后 就 能 够 设 定好 分 享 的 数据 了 ; 

2.， 最 好 建立 一 组 给 用 户 使 用 的 账号 与 密码 ， 让 其 他 主机 的 用 户 可 以 透 过 该 账号 密码 联机 进 
入 使 用 网 芳 分 享 的 资源 ; 


例题 : 假设 你 打开 Windows XP 的 档案 总 管 ， 在 D:\VBird\Data 这 个 目录 下 ， 你 按 下 右键 选 

『 共享 与 安全 性 ]， 之 后 ， 口中 ， 你 选择 : 『 你 了 解 这 个 安全 风险 ， 但 仍 不 要 执 
行 精灵 而 共享 档案 ， 请 按 这 ， 然 后 名 选 : 『 在 网 络 上 共享 这 个 文件 夹 ]， 最 后 共享 的 名 
称 你 输入 了 : 『VBGameJ es ， 假设 你 的 IP 是 192.168.100.20 ， 那 么 你 的 用 户 会 看 到 
什么 网 址 列 ? 答 : 网 芳 的 资源 名 称 通常 的 写法 是 : 『\IP\ 分 享 资 源 名 称 〗， 我 们 的 分 享 资源 名 
称 为 VBGame， 因 此 最 终 这 个 分 享 的 资源 名 称 应 该 是 : 『\192.168.100.20\VBGame 4 才 

对 ! 很 多 朋友 都 会 写成 : 『\192.168.100.20\VBird\Game J 那 错 得 很 离谱 喔 ! 


简单 的 ! 那么 Samba 怎么 设 定 啊 ? 也 是 很 简单 ， 依 据 上 述 的 限制 以 及 流程 你 可 以 这 


.服务 器 整体 设 定 方面 : 在 smb.conf 当中 设 定好 工作 组 、NetBIOS 主机 名 、 密 码 使 用 状态 
(无 密码 分 享 或 本 机 密码 ) 等 等 ; 


一 人 


2， 规 划 准 备 分 享 的 目录 参数 : 在 smb.conf 内 设 定好 预计 要 分 享 的 目录 或 装置 以 及 可 供 使 用 
的 账号 数据 ; 

3. 建立 所 需要 的 文件 系统 : 根据 步骤 2 的 设 定 ， 在 Linux 文件 系统 当中 建立 好 分 享 出 去 的 
档案 或 装置 ， 以 及 相关 的 权限 参数 ; 

4， 建立 可 用 Samba 的 账号 : 根据 步骤 2 的 设 定 ， 建 立 所 需 的 Linux 实体 账号 ， 再 以 
pdbedit 建立 使 用 Samba 的 密码 ; 

5， 启 动 服务 : 启动 Samba 的 smbd, nmbd 服务 ， 开 始 运 转 哩 ! 


根据 上 面 的 流程 ， 其 实 我 们 最 需要 知道 的 就 是 smb.conf 这 个 配置 文件 的 信息 就 是 了 。 所 以 首 
先 我 们 就 要 来 介绍 一 下 这 个 档案 的 设 定 方式 哩 ! 这 个 档案 其 实 可 以 分 为 两 部 份 来 看 ， 一 个 是 
主机 信息 部 分 ， 在 smb.conf 当中 以 [global] (全 领域 ) 作为 设 定 的 依据 ; 另 一 个 则 是 分 享 的 信 
息 ， 以 个 别 的 目录 名 称 为 依据 。 另 外 ， 由 于 Samba 主要 是 想 加 入 网 芳 功 能 ， 因 此 在 
smb.conf 内 的 很 多 设 定 都 与 Windows 类 似 喔 : 


。 在 smb.conf 当中 ， 并 字号 与 分 号 (# 跟 ;) 都 是 批注 符号 ; 
。 在 这 个 配置 文件 中 ， 大 小 写 是 没关系 的 ! 因为 Windows 没 分 大 小 写 ! 


e smb.conf 的 服务 器 整体 参数 : [global] 项 目 


在 smb.conf 这 个 配置 文件 当中 的 设 定 项 目 有 点 像 底下 这 样 : 


# 会 有 很 多 加 上 # 或 ; 的 批注 说 明 ， 你 也 可 以 自行 加 上 来 提醒 自己 相关 设 定 
[globall] 
参数 项 目 = 设 定 内 容 


[分 享 资源 名 称 ] 
参数 项 目 = 设 定 内 容 


在 [global] 当中 的 就 是 一 些 服 务 器 的 整体 参数 了 ， 和 包括 工 作 组 、 主 机 的 NetBIOS 名 称 、 字 符 
编码 的 显示 、 登 录 文件 的 设 定 、 是 否 使 用 密码 以 及 使 用 密码 验证 的 机 制 等 等 ， 都 是 在 这 个 
[global] 项 目 中 设 定 的 。 至 于 [分 享 资源 名 称 ] 则 是 针对 你 开放 的 目录 来 进 权限 方面 的 设 定 ， 包 
括 谁 可 以 浏览 该 目录 、 是 否 可 以 读 写 等 等 参数 。 在 [global] 部 分 关于 主机 名 信息 方面 的 参数 
主要 有 : 


e。 Workgroup = 工作 组 的 名 称 : 注意 ， 主 机 群 要 相同 ; 
e netbios name = 主机 的 NetBIOS 名 称 啊 ， 每 部 主机 均 不 同 ; 
。 server string = 主机 的 简易 说 明 ， 这 个 随便 写 即 可 。 


另外 ， 过 去 常常 让 使 用 者 心 生 不 满 的 语系 显示 问题 方面 ， 你 务必 要 清楚 的 知道 的 是 ，SAMBA 
服务 器 上 面 的 数据 (例如 mount 磁盘 分 区 槽 的 参数 以 及 原本 的 数据 编码 ) SAMBA 服务 器 显示 
的 语系 , Windows 客户 端 显示 的 语系 , Windows 客户 端 连 上 SAMBA 的 软件 都 需要 符合 设 定 
值 才 行 ! 在 新 版 的 3.x 上 面 有 数 个 提供 这 些 语系 转换 的 设 定 喔 ， 如 下 所 示 : 


。 display charset = 自己 服务 器 上 面 的 显示 编码 ， 例 如 你 在 终端 机 时 所 查阅 的 编码 信息 。 
一 般 来 说 ， 与 底下 的 unix charset 会 相同 。 


e unix charset = 在 Linux 服务 器 上 面 所 使 用 的 编码 ， 一 般 来 说 就 是 i18n 的 编码 嚼 上 所 以 
你 必须 要 参考 /etc/sysconfig/i18n 内 的 『 上 默认 J 编码 。 

。 dos charset = 就 是 Windows 客户 端的 编码 了 | 一 般 来 说 我 们 的 繁体 中 文 Windows 使 用 
的 是 big5 编码 ， 这 个 编码 在 Samba 内 的 格式 被 称 为 『 cp9504 喔 1! 


关于 语系 编码 ， 建 议 你 参考 一 下 讨论 区 的 这 一 篇 : 
e http://phorum.vbird.org/viewtopic.php?t=22001 


我 们 的 网 友 eyesblue 写 得 太 好 了 ! 所 以 建议 大 家 直接 前 往 查 阅 即 可 ! 在 这 里 鸟 哥 将 该 文章 内 
容 作 个 例题 来 玩 玩 。 


例题 : 假设 你 的 Samba 使 用 的 语系 /etc/sysconfig/i18n 显示 的 是 『 LANG="zh_TW.big5" 
了 ， 而 预计 要 分 享 的 目标 Windows 系统 是 XP， 那么 你 的 语系 数据 应 该 如 何 设 定 ? 答 : 由 于 
Linux, Windows XP 都 使 用 big5 编码 ， 因 此 设 定 值 应 该 是 : 


unix charset = cp950 
display charset = cp950 
dos charset = cp950 


除 此 之 外 ， 还 有 登录 文件 方面 的 信息 ， 包 括 这 些 参数 : 


。 log file = 登录 档 放置 的 档案 ， 文 件 名 可 能 会 使 用 变量 处 理 ; 
。 max log size = 登录 档 最 大 仅 能 到 多 少 Kbytes ， 若 大 于 该 数字 ， 则 会 被 rotate 掉 。 


还 有 网 芳 开 放 分 享 时 ， 安 全 性 程度 有 关 的 密码 参数 ， 包 括 这 几 个 : 
。 security = share, user, domain : 三 选 一 ， 这 三 个 设 定 值 分 别 代 表 : 


o share : 分 享 的 数据 不 需要 密码 ， 大 家 均 可 使 用 (没有 安全 性 ) ; 
o User : 使 用 SAMBA 服 务 器 本 身 的 密码 数据 库 ， 密 码 数据 库 与 底下 的 passdb 
backend 有 关 ; 
o domain : 使 用 外 部 服务 器 的 密码 ， 亦 即 SAMBA 是 客户 端 之 意 ， 如 果 设 定 这 个 项 
目 ， 你 还 得 要 提供 『password server = IPJ 的 设 定 值 才 行 ; 
。 encrypt passwords = Yes 代表 密码 要 加 密 ， 注 意 那 个 passwords 要 有 Ss 才 对 | 


。 passdb backend = 数据 库 格 式 ， 如 前 所 述 ， 为 了 加 快速 度 ， 目 前 密码 文件 已 经 转 为 使 用 
数据 库 了 上 默认 的 数据 库 格 式微 tdbsam ， 而 预 设 的 档案 则 放置 到 
/var/lib/samba/private/passwd.tdb ° 


事实 上 Samba 的 密码 方面 设 定 值 很 多 喔 ， 包 括 你 还 可 以 利用 samba 来 修改 /etc/passwd 里 
头 的 人 物 的 全 ! 不 过 这 个 时 候 就 得 需要 『 unix password sync J 以 及 『 passwd 
program J 这 两 个 参数 值 的 帮忙 了 。 我 们 这 里 先 谈 比 较 简 单 的 ， 其 他 进 阶 的 部 分 可 以 man 
smb.conf 去 进行 搜寻 查阅 喔 1! ^ 和 ^ 


。 分 享 资源 的 相关 参数 设 定 [分 享 的 名 称 ] 


中 


部 分 就 是 我 们 在 前 面 的 小 范例 当中 说 明 的 ， 要 将 (1) 哪 个 实际 的 目录 (2) 分 享 成 什么 名 称 ? 
各 号 里 面 放 的 是 『 分 享 名 称 〗 | 那 在 这 个 分 享 名 称 内 常见 的 参数 有 : 


[分 享 名 称 ] : 这 个 分 享 名 称 很 重要 ， 它 是 一 个 『 代 号 」 而 已 。 记 得 回去 看 看 16.2.2 里 面 
提 到 的 那个 范例 ; 


comment : 只 是 这 个 目录 的 说 明 而 已 1 

path : 这 个 分 享 名 称 实际 会 进入 的 Linux 文件 系统 (目录 )。 也 就 是 说 ， 在 网 芳 当 中 看 到 
的 是 [分 享 ] 的 名 称 ， 而 实际 操作 的 文件 系统 则 是 在 path 里 头 所 设 定 的 。 

browseable : 是 否 让 所 有 的 用 户 看 到 这 个 项 目 ? 


Writable : 是 否 可 以 写 入 ? 这 里 需要 注意 一 下 喔 ! 那个 read only 与 writable 不 是 两 个 变 
相似 的 设 定 值 吗 ? 如 果 writable 在 这 里 设 定 为 yes ， 亦 即 可 以 写 入 ， 如 果 read only 同时 
设 定 为 yes ， 那 不 就 互相 抵触 了 ! 那个 才 是 正确 的 设 定 ?答案 是 : 最 后 出 现 的 那个 设 定 
值 为 主要 的 设 定 |! 


create mode 与 directory mode 都 与 权限 有 关 的 咯 ! 


writelist = 使 用 者 , @ 群 组 ， 这 个 项 目 可 以 指定 能 够 进入 到 此 资源 的 特定 使 用 者 。 如 果 是 
@group 的 格式 ， 则 加 入 该 群 组 的 使 用 者 均 可 取得 使 用 的 权限 ， 设 定 上 会 比较 简单 ! 


因为 分 享 的 资源 主要 与 Linux 系统 的 档案 权限 有 关 ， 因 此 里 头 的 设 定 参数 多 与 权限 有 关 。 


smb.conf 内 的 可 用 变量 功能 


为 了 简化 设 定 值 ，Samba 提供 很 多 不 同 的 变量 给 我 们 来 使 用 ， 主 要 有 底下 这 几 个 变量 喔 : 


%S : 取代 目前 的 设 定 项 目 值 ， 所 谓 的 『 设 定 项 目 值 〗 就 是 在 [分 享 ] 里 面 的 内 容 ! 举例 来 
说 ， 例 如 底下 的 设 定 范例 : 


[homes] 
valid users = %S 


因为 valid users 是 允许 的 登入 者 ， 设 定 为 %S 表示 任何 可 登入 的 使 用 者 都 能 够 登入 的 意 
思 ~ 今 天 如 果 dmtsai 这 个 使 用 者 登入 之 后 ， 那 个 [homes] 就 会 自动 的 变 成 了 [dmtsai] 
了 ! 这 样 可 以 明白 了 吗 ? %S 的 用 意 就 是 在 蔡 换 掉 目 前 [] 里 面 的 内 容 啦 | 


%m : 代表 Client 端的 NetBIOS 主机 名 喔 ! 
%M : 代表 Client 端的 Internet 主机 名 喔 ! 就 是 HOSTNAME 。 
%L : 代表 SAMBA 主机 的 NetBIOS 主机 名 。 


e。 %H : 代表 用 户 的 家 目录 。 

e。 %U : 代表 目前 登入 的 使 用 者 的 使 用 者 名 称 

e。 %g : 代表 登入 的 使 用 者 的 组 名 。 

e。 %h : 代表 目前 这 部 SAMBA 主机 的 HOSTNAME 哩 ! 注意 是 hostname 不 是 NetBIOS 


name 喔 |! 
e。 %| : 代表 Client 的 IP 咯 。 
e %T : 代表 目前 的 日 期 与 时 间 


以 上 就 是 在 smb.conf 上 头 常 看 到 的 几 种 设 定 项 目 ， 相 信 初 次 接触 Samba 的 朋友 ， 看 到 上 头 
写 的 资料 肯定 是 一 头 雾 水 的 ! 我 们 底下 用 几 个 小 范例 来 实际 的 介绍 smb.conf 的 设 定 后 ， 你 就 
会 知道 这 些 参数 如 何 应 用 了 ! 记得 ， 看 完 底下 的 下 范例 后 ， 要 回来 再 将 这 些 参 数 的 意义 瞧 一 
瞧 ， 而 且 若 有 其 他 额外 的 参数 须知 ， 务 必 自 行 man smb.conf 喔 ! 重要 的 很 ! 


Tips: 时 代 变 动 太 快 ， 版 本 变动 太 多 一 要 讲 完 所 有 的 参数 实在 是 很 难 的 一 件 事 一 所 以 在 这 里 乌 
哥 只 讲 一 些 常用 的 设 定 项 目 ， 很 多 细 项 就 得 要 靠 各 位 看 官 自己 努力 了 一 文 末 也 有 列 出 很 多 
Samba 的 在 线 资 源 ， 记 得 要 查 察看 ! 


16.2.3 不 需 密码 的 分 享 (security = share, 纯 测 试 ) 


瞎 密 ?不 需要 密码 就 能 够 使 用 SAMBA 主机 所 提供 的 目录 资源 ? 申 假 ? 没 错 啦 ， 可 以 达到 

的 。 不 过 ， 因 为 不 需要 密码 就 能 够 登入 ， 虽然 你 可 以 设 定 权限 成 为 只 读 ， 让 使 用 者 可 以 『 瞧 
瞧 而 已 ， 但 是 毕竟 比较 危险 。 因为 如 果 你 不 小 心 将 重要 数据 放置 到 该 分 享 的 目录 当中 ， 迪 
不 危险 ?了 所 以 尽量 不 要 这 样 设 定 ， 所 以 标题 才 会 讲 : 『 纯 测试 了 嘛 ! 


。 0. 假设 条 件 
在 底下 的 案例 中 ， 服 务 器 (192.168.100.254) 预计 设 定 的 参数 状况 为 : 


。 在 LAN 内 所 有 的 网 芳 主 机 工作 组 (workgroup) 为 : vbirdhouse 

。 这 部 Samba 服务 器 的 NetBIOS 名 称 (netbios name) 为 : vbirdserver 
e 使 用 者 认证 层级 设 定 (security) 为 : share 

。 取消 原本 有 放行 的 [homes] 目录 ; 

。 仅 分 享 /tmp 这 个 目录 而 已 ， 且 取 名 为 : temp 

。 Linux 服务 器 的 编码 格式 假设 为 万 国 码 (Unicode, 亦 即 utf8) 

e 客户 端 为 中 文 Windows ， 在 客户 端的 软件 也 使 用 big5 的 编码 


老实 说 ，netbios name 几乎 可 以 不 用 设 定 了 ， 因 为 现在 我 们 都 用 IP 进行 网 芳 联机 ， 不 一 定 
会 使 用 主机 名 嘛 ! 所 以 这 一 版 当中 ， 乌 可 取消 了 Imhosts 的 设 定 值 喔 ! 好 了 ， 底 下 就 开始 依 
序 来 进行 samba 的 设 定 吧 ! 


e 1. 设 定 smb.conf 配置 文件 


由 于 我 们 有 设 定 语系 相关 的 数据 ， 因 此 得 要 先 查 查看 ， 到 底 我 们 Linux 服务 器 的 语系 是 否 为 
utf8 呢 ? 检查 方法 如 下 : 


[root@www ~]# cat /etc/sysconfig/i18n 
LANG="zh_TW.UTF-8" &1t;== 确 实 是 出 现 了 utf8 虽 ! 


如 上 所 示 ， 确 实 是 utf8 啊 ! 而 在 这 个 例子 当中 我 们 仅 分 享 /tmp 这 个 目录 而 已 ， 而 且 假 设 这 
分 享 出 来 的 目录 是 可 擦 写 的 ， 另 外 ， 我 们 并 没有 分 享 打印 机 喔 |! 而 在 smb.conf 当 ee 
号 可 以 是 『#J」 也 可 以 是 『;J」 喔 1 要 注意 |! 


[root@www ~]# cd /etc/samba 

[root@www samba]# cp smb.conf smb.conf.raw &lLt;== 先 备份 再 说 ! 
Woot Ow samba ]# vim smb.conf 

# 1\， 先 设 定好 服务 器 整体 环境 方面 的 参数 


[globall] 
# 与 主机 名 有 关 的 设 定 信息 
workgroup = vbirdhouse 
netbios name = vbirdserver 


server string This is vbird's samba server 


# 与 语系 方面 有 关 的 设 定 项 目 嘱 ， 为 何如 此 设 定 请 参考 前 面 的 说 明 


unix charset = utf8 
display charset = utf8 
dos charset = cp950 


# 与 登录 文件 有 关 的 设 定 项 目 ， 注 意 变 量 (%m) 
1og file = /var/l0g/samba/10og.%m 
max 10og size = 50 


# 这 里 才 是 与 密码 有 关 的 设 定 项 目 哩 ! 
**Security = share** 


# 修改 一 下 打印 机 的 加 载 方式 ， 不 要 加 载 啦 ! 
load printers = no 


# 2\， 分 享 的 资源 设 定 方面 : 主要 得 将 日 的 批注 ， 新 的 加 入 ! 
# 先 取消 [homes]，[printers] 的 项 目 ， 然 后 针对 /tmp 的 设 定 ， 可 浏览 且 可 写 入 嘱 


[temp] &1t ;== 分 享 资 源 名 称 
comment = Temporary file space &1t ;== 简 单 的 解释 此 资源 
path = /tmp &1t ;== 实 际 Linux 分 享 的 目录 
writable = yes &lt; 0 
browseable = yes &1t ;== 能 不 能 被 浏览 到 资源 名 称 
&lt;u&gt;guest ok = yes&lt;/u&gt; &1Lt;== 单 纯 分 享 时 ， 让 用 户 随意 登 7 


用 . 3 和 有 


请 你 特别 留意 ， 在 原本 的 smb.conf 上 面 就 已 经 有 很 多 默认 值 了 ， 这 些 默认 值 如 果 你 不 知道 他 
用 途 ， 尽 量 保留 默认 值 ， 也 可 以 使 用 man smb.conf 去 查询 该 默认 值 的 意义 。 上 述 的 设 定 
完全 控制 使 用 者 的 认证 层级 的 哆 ! 





。 2. 用 testparm 查阅 smb.conf 的 语法 设 定 正确 性 


在 启动 samba 之 前 ， 我 们 务必 要 了 解 到 smb.conf 里 面 语法 是 否 正 确 ， 检 验 的 方式 使 用 
testparm 这 个 指令 即 可 。 测试 方式 如 下 : 


[root@www ~]# testparm 
选项 与 参数 : 
-V :查阅 完整 的 参数 设 定 ， 连 同 默认 值 也 会 显示 出 来 喔 ! 


[root@www ~]# testparm 

Load smb config files from /etc/samba/smb.conf 

Processing section "[temp]"  &lt;== 看 有 几 个 中 括号 ， 若 中 刊 号 前 出 现 讯息 ， 则 有 错误 
Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions &lt;== 按 Enter 继续 


[global]  ”&lt;== 底 下 就 是 刚刚 在 smb.conf 里 头 设 定 的 数据 ! 
dos charset = cp950 
unix charset = utf8 
display charset = utf8 
workgroup = VBIRDHOUSE 
netbios name = VBIRDSERVER 
server string = This is vbird's samba server 
security = SHARE 
1og file = /var/l10g/samba/l1og.%m 
max 10og size = 50 
load printers = No 


[temp] 
comment = Temporary file space 


path = /tmp 
read only = No 
guest ok = Yes 


上 头 是 语法 验证 与 各 个 项 目的 列 出 ， 如 果 你 下 达 testparm 却 出 现 如 下 画面 那 就 是 有 问题 : 


[root@www ~]# testparm 

Load smb config files from /etc/samba/smb.conf 

Unknown parameter encountered: "linux charset" &lt;== 中 括号 前 为 错误 讯息 ! 
Ignoring unknown parameter "linux charset" 

Processing section "[temp]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


如 果 发 现 上 述 的 错误 ， 这 表示 你 的 smb.conf 有 个 『 linux charset 4 的 设 定 参数 ， 不 过 
smb.conf 其 实 是 不 支持 这 个 参数 的 。 可 能 的 问题 是 samba 2.x 与 samba 3.x 有 一 些 项 目的 
支持 已 经 不 存在 了 ， 所 以 你 使 用 旧版 的 2.x 配置 文件 来 3.x 上 头 执行 时 ， 就 会 出 现 问题 。 此 
外 ，『 了 打字 错误 」 也 是 很 常见 的 一 个 问题 响 ! 赶紧 测试 一 下 语法 先 ， 然 后 根据 smb.conf 存在 
的 项 目 去 进行 修改 吧 。 


如 果 你 想 要 了 解 samba 的 所 有 设 定 (包括 没有 在 smb.conf 里 头 设 定 的 默认 值 )， 可 以 使 用 
testparm -v 来 作 详细 的 输出 ， 资料 相当 的 丰富 ， 透 过 这 个 你 也 可 以 知道 你 的 主机 环境 设 定 为 
何 呢 1 AAA 


[root@www ~]# /etc/init.d/smb start  &lLt;== 这 一 版 开始 要 启动 两 个 daemon 
[root@www ~]# /etc/init.d/nmb start 

[root@www ~]# chkconfig smb on 

[root@www ~]# chkconfig nmb on 

[root@www ~]# netstat -tlunp &#124; grep mbd 

Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 :39 Sy LISTEN 1772/smbd 
tcp 0 © :::445 np LISTEN 1772/smbd 
udp 0 © 192.168.1.100:137 0.0.0.0:* 1780/nmbd 
udp 0 © 192.168.100.254:137 0.0.0.0:* 1780/nmbd 
udp 0 0 0.0.0.0:137 0.0.0.0:* 1780/nmbd 
udp 0 © 192.168.1.100:138 0.0.0.0:* 1780/nmbd 
udp 0 © 192.168.100.254:138 0.0.0.0:* 1780/nmbd 
udp 0 0 0.0.0.0:138 0.0.0.0:* 1780/nmbd 


特别 注意 ， 在 Samba 当中 预 设 会 启动 多 个 端口 ， 这 和 包括 数据 传输 的 TCP 端口 (139, 445)， 
以 及 进行 NetBIOS 名 称 解析 之 类 工作 的 UDP 埠 口 (137, 138)， 所 以 你 才 会 看 到 很 多 数据 
的 。 那 么 能 和 否 仅 支持 139 这 个 必要 的 埠 口 ， 关 闭 445 呢 ? 可 以 啊 ~ 透 过 testparm -v 的 观 
察 ， 可 以 发 现 『 smb ports = 445 139 4 这 个 设 定 值 指定 两 个 埠 口 的 ， 因 此 你 可 以 在 
smb.conf 增加 这 个 设 定 值 ， 并 改 为 smb ports = 139 即 可 。 不 过 ， 建 议 先 保 留 默认 值 啦 ! 


。 4. 假设 自我 为 客户 端的 检验 (默认 用 lo 接口 ) 


关于 客户 端的 观察 我 们 会 在 后 续 进行 介绍 。 在 这 里 仅 是 说 明 如 何 确定 我 们 的 Samba 设 定 与 服 
务 有 顺利 的 在 运作 。 人 让 六 村 下 二 二 smbclient 这 支 程 序 来 处 理 ， 它 的 基本 查询 语法 
是 这 样 的 : 

[root@www ~]# smbclient -L [// 主 机 或 TP] [-U 使 用 者 账号 ] 

选项 与 参数 : 


-L : 仅 查 阅 后 面 接 的 主机 所 提供 分 享 的 目录 资源 ; 
-U :以 后 面 接 的 这 个 账号 来 尝试 取得 该 主机 的 可 使 用 资源 


由 于 在 这 个 范例 当中 我 们 并 没有 规范 用 户 的 安全 等 级 (share)， 所 以 不 必 使 用 -U 这 个 选项 ， 
因此 你 可 以 这 样 看 看 : 
[root@www ~]# smbclient -L //127.0.0.1 


Enter root's password: &]t;== 因 为 不 需要 密码 ， 因 此 这 里 单 击 [Enter] 吧 ! 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Sharename Type Comment 
temp Disk Temporary file space 
IPC$ IPC IPC Service (This is vbird's samba server) 


Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Server Comment 
VBIRDSERVER This is vbird's samba server 
Workgroup Master 


VBIRDHOUSE VBIRDSERVER 


上 表 输 出 的 信息 当中 ， 分 享 的 目录 资源 (Sharename) 就 是 在 smb.conf 当中 设 定 的 [temp] 名 
称 嘿 ! 因此 在 这 里 的 意思 是 : 任何 人 都 可 以 进入 //127.0.0.1/temp 这 个 目录 当中 ， 而 这 个 目 
录 在 Linux 系统 其 实 是 /tmp 目录 。 至 于 那个 IPC$ 则 是 为 了 要 应 付 Windows WL 
在 的 项 目 就 是 了 。 那 么 该 如 何 使 用 这 个 资源 呢 ? 接 下 来 我 们 可 以 利用 mount 这 个 指令 来 测试 
看 看 史 : 

[root@www ~]# mount -t cifs //127.0.0.1/temp /mnt 


Password: &lt;== 因 为 没有 密码 ， 所 以 这 里 还 是 按 Enter 即 可 
[root@www ~]# df 


Filesystem 1K-blocks Used Available Use% Mounted on 
. . (前 面 省 咯 ) , ,, 
//127.0.0.1/temp/ 1007896 53688 903008 6% /mnt 


[root@www ~]# cd /mnt 

[root@www mnt]# 11 &lt;== 以 上 这 两 个 动作 要 进行 | 才 会 知道 有 没有 权限 的 问题 ! 
[root@www mnt]# touch zzz 

[root@www mnt]# 11 zzz /tmp/zzz 

-rw-r--r--. 1 nobody nobody 0 Jul 29 13:08 /tmp/zzz 

-rw-r--r--. 1 nobody nobody 0 Jul 29 13:08 zzz 

# 注意 喔 ! 你 进入 /mnt 身份 会 被 压缩 成 为 nobody 呢 ! 不 再 是 root 啊 ! 


[root@www mnt]# cd ; umount /mnt 


确实 可 以 挂 载 的 起 来 ， 所 以 ， 测 试 完毕 后 ， 就 将 这 个 挂 载 的 资料 纯 除 吧 。 关 于 mount 的 用 
法 ， 我 们 会 在 后 面 的 小 节 继 续 介 绍 。 


基本 上 ， 到 此 为 止 咱们 就 设 定好 一 个 简单 的 不 需要 密码 即 可 登入 的 Samba 服务 器 了 ! 你 可 
以 先行 到 客户 端 软件 功能 的 部 分 进行 更 细部 的 挂 载 测 试 。 接 下 来 ， 让 我 们 以 简易 的 需要 密码 
才能 够 登入 Samba 的 方式 来 设计 一 个 范例 吧 ! 


16.2.4 需 账 号 密码 才 可 登入 的 分 享 (security = user) 


设 定 一 部 不 需 密码 即 可 登入 的 Samba server 是 非常 简单 的 ， 不 过 ， 你 总 不 希望 某 些 有 机 密 
性 质 的 资料 放 在 不 设防 的 网 芳 中 让 大 家 查阅 吧 ?了 举例 来 说 ， 你 总 不 希望 你 的 家 目录 被 人 家 随 
意 浏览 吧 ? 家 目录 内 可 能 有 你 自己 的 情书 呢 1A_^ 


那 怎么 办 ? 没关系 ， 我 们 可 以 透 过 Samba 服务 器 提供 的 认证 方式 来 进行 用 户 权力 的 给 予 
也 就 是 说 ， 你 在 客户 端 联机 到 服务 器 时 ， 必 须要 输入 正确 的 账号 与 密码 后 ， 才 能 够 登入 
Samba 查阅 到 你 自己 的 数据 ! 那 会 不 会 很 难 啊 ? 不 会 | Samba 本 身 就 提供 一 个 小 程序 来 
帮助 我 们 处 理 密 码 的 建立 了 ， 整 个 流程 还 不 太 难 。 


比较 重要 的 是 Samba 使 用 者 账号 必须 要 存在 于 Linux 系统 当中 (letc/passwd) ， 但 是 Samba 
Unix 的 密码 档案 并 不 相同 (这 是 因为 Linux 与 网 芳 Ee ssa ey Wd 
所 致 )。 这 就 比较 有 点 小 麻烦 一 没关系 ， 就 让 我 们 依 样 画 彰 芦 来 处 理 一 下 这 个 部 分 的 设 定 吧 ! 


e 0. 假设 条 件 


由 于 使 用 者 层级 会 改变 成 User 的 阶段 ， 因 此 [temp] 已 经 没有 必要 存在 ! 请 将 该 设 定 删除 或 批 
注 。 而 服务 器 方面 的 整体 数据 则 请 保留 ， 包 括 工作 组 等 等 的 数据 ， 并 新 增 底 下 的 资料 : 


e 使 用 者 认证 层级 设 定 (Security) 为 : user 

e 用 户 密码 档案 使 用 TDB 数据 库 格 式 ， 默 认 档案 在 /varl/lib/samba/private/ 内 ; 

。 密码 必须 要 加 密 ; 

。 每 个 可 使 用 samba 的 使 用 者 均 拥 有 自己 的 家 目录 ; 

e 设 定 三 个 用 户 ， 名 称 为 smb1, smb2, smb3 ， 且 均 加 入 Users 为 次 要 群 组 。 此 三 个 用 户 
Linux 密码 为 1234 ，Samba 密码 则 为 4321 ; 

。 分 享 /home/project 这 个 目录 ， 且 资源 名 称 取 名 为 : project ; 

e。 加 入 Users 这 个 群 组 的 使 用 者 可 以 使 用 WIP/project 资源 ， 且 在 该 目录 下 Users 这 个 群 组 
的 使 用 者 具有 写 入 的 权限 。 


好 了 ， 开 始 一 步 步 的 处 理 吧 ! 
e 1. 设 定 smb.conf 配置 文件 与 目录 权限 相关 之 设 定 


在 这 个 范例 的 配置 文件 当中 ， 我 们 会 新 增 几 个 参数 ， 新 增 的 参数 部 分 会 用 特殊 字体 圈 起 来 ， 
引用 之 前 参数 的 部 分 则 为 一 般 字体 。 请 交互 参考 看 看 史 : 


# 1\， 开始 设 定 重 要 的 smb .conf 档案 哆 ! 
[root@www ~]# vim /etc/samba/smb.conf 


[globall] 
workgroup = vbirdhouse 
netbios name = vbirdserver 
server string = This is vbird's samba server 
unix charset = utf8 
display charset = utf8 
dos charset = cp950 
log file = /var/l0g/samba/1o0g.%m 
max 10g size = 50 
load printers = no 


# 与 密码 有 关 的 设 定 项 目 ， 包 括 密码 档案 所 在 格式 喔 ! 
security = user &1t ;== 这 行 就 是 重点 啦 ! 改 成 User 层级 
passdb backend = tdbsam &1lt;== 使 用 的 是 TDB 数据 库 格式 ! 





# 2\， 分享 的 资源 设 定 方面 : 删除 temp 加 入 homes 与 project 


[homes] &1t; == 分享 的 资源 名 称 
comment = Home Directories 
browseable = no &1t;== 除 了 使 用 者 自己 外 ， 不 可 被 其 他 人 浏览 
writable = yes &1lt ;== 挂 载 后 可 擦 写 此 分 享 
create mode = 0664 &1t; == 建立 档案 的 权限 为 664 
directory mode = 0775 &1t ;== 建 立 目录 的 权限 为 775 

[project] &1t ;== 就 是 那 三 位 使 用 者 的 共享 资源 
comment = smbuser's project 
path = /home/project &1t ;== 实 际 的 Linux 上 面 的 目录 位 置 
browseable = yes &1t ;== 可 被 其 他 人 所 浏览 到 资源 名 称 ( 非 内 容 ) 
writable = yes &1lLt;== 可 以 被 写 入 
write list = @users &1t;== 写 入 者 有 哪些 人 的 意思 


# 2\， 每 次 改 完 smb .conf 你 都 需要 重新 检查 一 下 语法 正确 否 ! 
[root@www ~]# testparm  &1Lt;== 详 细 的 debug 请 自行 处 理 鹃 ! 





在 上 表 当 中 比较 有 趣 的 设 定 项 目 主要 有 : 


e。 [global] 修改 与 新 增 的 部 分 : security 设 定 为 user 层级 ， 且 使 用 『passdb backend = 
tdbsamJ 这 个 数据 库 格式 ， 因 此 密码 文件 会 放置 于 /var/lib/samba/private/ 内 。 此 外 ， 默 
认 密 码 就 是 加 密 的 ， 因 此 不 需要 额外 使 用 其 他 的 设 定 参数 来 规范 ; 


。 [homes] 这 个 使 用 者 资源 共享 部 分 : homes 是 最 特殊 的 资源 共享 名 称 ， 因 为 Linux 上 面 
的 每 位 用 户 均 有 家 目录 ， 例 如 smb1 的 家 目录 位 于 /home/smb1/， 那 当 smb1 用 户 使 用 
samba 时 ， 她 就 会 发 现 多 了 个 //127.0.0.1/smb1/ 的 资源 可 用 ， 而 smb2 就 在 
/127.0.0.1/smb2/ 这 个 资源 。 由 于 不 可 浏览 (browseable)， 所 以 除了 使 用 者 可 以 看 到 自 
己 的 家 目录 资源 外 ， 其 他 人 是 无 法 浏览 的 。 此 外 ， 为 了 规范 权限 ， 而 多 了 create mode 
与 directory mode 两 个 设 定 值 (此 值 可 设 定 也 可 不 理会 ) ; 


。 [project] 这 个 使 用 者 资源 共享 部 分 : 当 我 们 新 增 一 个 共享 资源 时 ， 最 重要 的 就 是 规范 资 
源 名 称 。 在 此 例 中 我 们 使 用 project 这 个 资源 名 称 来 指向 /home/project ， 也 就 是 说 ， 
//127.0.0. Vprolee 代表 的 是 0 的 意思 。 此 外 ， 能 够 使 用 这 个 资源 的 账号 ， 为 
加 入 Users 这 个 群 组 的 用 户 喔 | 透 过 write list 这 个 项 目 比 较 单 纯 ， 如 果 是 早期 的 设 定 ， 

可 能 会 使 用 valid users ， 但 近来 人 Write list 设 定 项 目 。 不 过 能 否 顺 利 的 存 取 
档案 还 与 Linux 最 底层 的 档案 权限 有 关 。 


千 万 不 要 忘记 了 ， 除 了 配置 文件 之 外 ， 详 细 的 目录 权限 与 账号 设 定 等 规范 也 要 设 定好 1 底下 
我 们 用 范例 来 进行 此 项 工作 ! 


例题 : 我 们 预计 要 分 享 录 ， 这 个 目录 的 权限 该 如 何 设 定 ? 答 : 因为 是 要 开放 
合 USers 群 组 ， 而 共享 群 组 的 权限 通常 是 『 2770 4 这 个 含有 SGID 、 。 因 此 这 


个 目录 应 该 如 此 设 定 才 好 : 


[root@www ~]# mkdir /home/project 

[root@www ~]# chgrp users /home/project 

[root@www ~]# chmod 2770 /home/project 

[root@www ~]# 11 -d /home/project 

drwxrws---. 2 root users 4096 Jul 29 13:17 /home/project 


e 2. 设 定 可 使 用 Samba 的 用 户 账号 与 密码 


设 定 使 用 者 账号 是 很 重要 的 一 环 ， 因 为 设 定 错误 的 话 ， 当 然 也 就 任何 人 都 没有 办 法 登入 的 | 
在 这 里 我 们 必须 先 要 说 明 一 下 Linux 的 文件 系统 与 SAMBA 设 定 的 使 用 者 登入 权限 的 相关 
性 | 


。 在 Linux 这 个 系统 下 ， 任 何 程序 都 需要 取得 UID 与 GID (User ID 与 Group ID) 的 身份 之 
后 ， 才 能 够 拥有 该 身份 的 权限 ， 也 才能 够 适当 的 进行 存 取 档案 等 动作 ! 


e 关于 Linux 这 个 系统 的 UID 与 GID 与 账号 的 相对 关系 ， 一 般 记 录 在 /etc/passwd 当中 ， 
当然 也 能 透 过 NIS, ldap 等 方式 来 取 对 应 ; 


e SAMBA 仅 只 是 Linux 底下 的 一 套 软 件 ， 使 用 SAMBA 来 进行 Linux 文件 系统 时 ， 还 是 需 
要 以 Linux 系统 下 的 UID 与 GID 为 准则 ! 


如 果 上 面 这 几 点 说 明 你 没有 问题 了 ， 现 在 就 来 看 一 下 当 我 们 在 Windows 计 草 机 上 面 以 网 络 上 
的 芳 邻 来 连接 Linux 并 且 进行 数据 的 存 取 时 ， 会 是 怎样 的 一 个 情况 呢 ? 


我 们 需要 透 过 SAMBA 所 提供 的 功能 来 进行 Linux 的 存 取 ， 而 Linux 的 存 取 是 需要 取得 Linux 
系统 上 面 的 UID 与 GID 的 ， 因 此 ， 我 们 登入 SAMBA 服务 器 时 ， 所 利用 SAMBA 取得 的 其 实 
是 Linux 系统 里 面 的 相关 账号 ! 这 也 就 是 说 ， 在 SAMBA 上 面 的 使 用 者 账号 ， 必 须要 是 
Linux 账号 中 的 一 个 ! 


所 以 说 ， 在 不 考虑 NIS 或 LDAP 等 其 他 账号 的 验证 方式 ， 单 纯 以 Linux 本 机 账号 
(/etc/passwd) 作为 身份 验证 时 ， 在 Samba 服务 器 所 提供 可 登入 的 账号 名 称 ， 必 须要 存在 于 
/etc/passwd 当中 ! 这 是 一 个 很 重要 的 概念 ! 例如 你 要 先 有 dmtsai 在 /etc/passwd 当中 后 ， 
才能 将 dmtsai 加 入 Samba 的 使 用 者 当中 。 这 都 是 很 基本 的 账号 权限 概念 ， 如 果 你 觉得 这 里 
阅读 方面 有 问题 ， 若 不 考虑 岛 可 的 解释 不 良 ， 表 示 你 必须 要 回去 读 读 基础 篇 了 ~ 人 ^ 


现在 我 们 知道 需要 新 增 smb1, smb2, smb3 三 个 用 户 ， 且 这 三 个 用 户 需 要 加 入 Users 群 组 。 
此 外 ， 我 们 之 前 还 建立 过 student 这 个 用 户 ， 假 设 这 四 个 人 都 需要 能 用 Samba 服务 ， 那 么 除 
了 新 增 用 户 之 外 ， 我 们 还 需要 利用 pdbedit 这 个 指令 来 处 理 Samba 用 户 功能 喔 ! 


# 1\。 先 来 建立 所 需要 的 各 个 账号 ， 但 假设 Student 已 经 存在 了 哩 ! 
[root@www ~]# useradd -G users Smb1 

[root@www ~]# useradd -G users smb2 

[root@www ~]# useradd -G users smb3 

[root@www ~]# echo 1234 &#124; passwd --stdin smb1 
[root@www ~]# echo 1234 &#124; passwd --stdin smb2 
[root@www ~]# echo 1234 &#124; passwd --stdin smb3 


# 2\， 使 用 pdbedit 指令 功能 

[root@www ~]# pdbedit -L [-vw] &1t;== 单 纯 的 察看 帐户 信息 
[root@www ~]# pdbedit -a&#124; -r&#124; -X -U 账号 &1t ;== 新 增 /修改 /删除 账号 
[root@www ~]# pdbedit -a -m -U 机 器 账号 。 &1t;== 与 PDC 有 关 的 机 器 码 
选项 与 参数 : 

-L : 列 出 目前 在 数据 库 当中 的 账号 与 UID 等 相关 信息 ; 

-V :需要 搭配 -L 来 执行 ， 可 列 出 更 多 的 讯息 ， 包 括 家 目录 等 数据 ; 

-W : 需要 搭配 -L 来 执行 ， 使 用 旧版 的 smbpasswd 格式 来 显示 数据 ; 

-a :新 增 一 个 可 使 用 Samba 的 账号 ， 后 面 的 账号 需要 在 /etc/passwd 内 存在 者 ; 
-Fr :修改 一 个 账号 的 相关 信息 ， 需 搭配 很 多 特殊 参数 ， 请 man pdbedit ; 

-X :删除 一 个 可 使 用 Samba 的 账号 ， 可 先 用 -L 找到 账号 后 再 删除 ; 

-m :后 面 接 的 是 机 器 的 代码 (machine account)， 与 domain model 有 关 ! 


# 2.1 开始 新 增 使 用 者 吧 ! 

[root@www ~]# pdbedit -a -u smb1 

new password: &lt;== 输 入 4321 这 个 密码 瞧 瞧 

retype new password: &1lLt;== 再 输入 一 次 吧 ! 

Unix username: smb1 ”&1t;== 底 下 为 输入 正确 后 的 显示 结果 ! 
NT Username : 

Account Flags: [ 
User SID : S 
Primary Group SID: S 
Full Name: 

Home Directory: \\vbirdserver\smb1 

HomeDir Drive: 

Logon Script: 

Profile Path: \\vbirdserver\smbi\profile 

Domain: VBIRDSERVER 

Account desc: 

Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: 9223372036854775807 seconds since the Epoch 
Kickoff time: 9223372036854775807 seconds since the Epoch 


U ] 
21-4073076488-3046109240-798551845-1000 


Se 
-1-5-21-4073076488-3046109240-798551845-513 


Password last set: Fri, 29 Jul 2011 13:19:56 CST 
Password can change: Fri, 29 Jul 2011 13:19:56 CST 
Password must change: never 


Last bad password 人 
Bad password count :0 
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 


# 你 可 以 发 现 其 实 讯息 非常 的 多 ! 若 需 修改 细部 设 定 ， 请 man pdbedit 吧 ! 
[root@www ~]# pdbedit -a -u smb2 

[root@www ~]# pdbedit -a -u smb3 

[root@www ~]# pdbedit -a -u student 


# 2.2 查询 目前 已 经 存在 的 Samba 账号 
[root@www ~]# pdbedit -L 
smb1:2004: 

smb3:2006: 

smb2:2005: 

student:505: 

# 仅 会 列 出 账号 与 UID 而 已 吻 ! 

# 2.3 尝试 修改 与 删除 smb3 这 个 账号 看 看 
[root@www ~]# smbpasswd smb3 

New SMB password: 


Retype new SMB password: 
# 修改 密码 比较 特殊 ， 管 理 密码 参数 是 使 用 pdbedit， 修 改 密码 得 要 用 smbpasswd 哆 ! 


[root@www ~]# pdbedit -x -u smb3 


[root@www ~]# pdbedit -Lw 
# 此 时 你 就 看 不 到 smb3 这 个 用 户 嘿 1! 所 以 测试 完 请 立即 将 它 加 回来 ! 


以 后 如 果 有 需要 新 增 额 外 的 使 用 者 账号 ， 若 该 账号 原本 不 存在 ， 则 使 用 useradd 再 以 pdbedit 
-a 去 新 增 。 若 已 经 存在 于 Linux 的 实体 账号 ， 直 接 用 pdbedit -a 新 增 即 可 。 同 时 要 注意 ， 管 
理 TDB 数据 库 格 式 建议 使 用 pdbedit 这 个 新 的 玩意 儿 来 处 理 ，smbpasswd 仅 剩 下 修改 密码 
的 功能 需 记 忆 即 可 ! 


e。 3. 重新 启动 Samba 并 进行 自我 测试 


在 经 过 重新 启动 后 ， 我 们 所 进行 的 修订 才 会 生效 。 然 后 使 用 smbclient 来 检查 看 看 ， 是 否 不 同 
身份 会 有 不 一 样 的 浏览 结果 呢 ? 赶紧 看 看 : 


[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 


# 1\， 先 用 匿名 登录 试看 看 ! 

[root@www ~]# smbclient -L //127.0.0.1 

Enter root's password: &1lt ;== 直 接 按 下 [Enter] 即 可 。 
Anonymous login successful &lt;== 有 看 到 匿名 的 字样 了 | 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Sharename Type Comment 

project Disk smbuser's project 

IPC$ IPC IPC Service (This is vbird's samba server) 
.... (底下 省 略 ).... 


# 2\， 再 使 用 Smb1 这 个 账号 登入 试看 看 ! 

[root@www ~]# smbclient -L //127.0.0.1 -U smb1 

Enter smb1's password: &lLt;== 输 入 Smb1 在 pdbedit 所 建立 的 密码 ! 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Sharename Type Comment 
project Disk smbuser's project 
IPC$ IPC IPC Service (This is vbird's samba server) 
smb1 Disk Home Directories &lLt;== 多 了 这 玩意 儿 ! 
.... (底下 省 略 ),... 


由 上 表 我 们 可 以 发 现 ， 经 由 不 同 的 身份 登入 可 以 取得 不 一 样 的 浏览 数据 ， 所 以 在 使 用 上 面 需 
要 特别 留意 喔 ! 接 下 来 ， 让 我 们 开始 来 自我 挂 载 测试 看 看 ! 


[root@www ~]# mount -t cifs //127.0.0.1/Ssmb1 /mnt -o username=smb1 
Password: &1t;== 确 定 是 输入 正确 的 密码 喔 ! 
# 此 时 /home/smb1/ 与 /mnt 应 该 拥有 相同 的 档 名 才 对 ! 因为 挂 载 嘛 ! 


[root@www ~]# 11 /home/smb1/.bashrc 

-rw-r--r--. 1 smb1l smb1 124 May 30 23:46 /home/smb1/.bashrc &1t;== 确 定 有 档案 
[root@www ~]# ls -a /mnt 

# 却 看 不 到 任何 东西 ! 应 该 是 SELinux 的 问题 吧 ! 根据 /var/10g/messages 的 讯息 ， 

# 进行 如 下 的 动作 就 能 够 处 理 好 这 个 程序 ! 


[root@www ~]# setsebool -P samba_enable_ home_dirs=1 

[root@www ~]# ls -a /mnt 

， .., .bash logout .bash profile .bashrc .gnome2 .mozilla 
# 档 名 出 现 啦 ! OKOK ! 这 个 使 用 者 挂 载 处 理 完毕 ! 


[root@www ~]# umount /mnt 


自我 测试 是 非常 重要 的 ! 因为 Samba 是 会 对 外 提供 服务 的 ， 因 此 SELinux 会 特别 『 关 照 
一 下 这 个 服务 ! 包括 默认 用 户 家 目录 不 会 有 开放 的 权限 、 预 设 的 SELinux type 不 对 就 无 法 使 
用 (你 可 以 自己 尝试 挂 载 /127.0.0.1/project 就 知道 啥 原因 鹃 1 )， 所 以 ， 自 行 测试 完毕 就 能 够 
理解 哪个 地 方 的 SELinux 没有 设 定 受 当 ! 详细 的 设 定 请 到 16.2.6 安全 性 设 定 去 查阅 。 


Tips: 根据 网 友 回 报 ， 因 为 之 前 我 们 设 定 的 security 是 share， 而 且 已 经 使 用 Windows 系统 
测试 过 ， 在 同一 部 Windows 系统 上 面 重复 测试 时 ， 会 发 生 无 法 登入 的 情况 。 建 议 直 接 将 
Windows 系统 重新 启动 清除 前 一 次 登入 的 信息 即 可 | 人 人 ^ 


。 4. 关于 权限 的 再 说 明 与 累加 其 他 分 享 资 源 的 方式 : 


有 的 时 候 你 会 发 现 ， 明 明 在 smb.conf 当中 已 经 设 定 了 writable 可 写 入 ， 使 用 者 登入 的 身份 也 
没有 问题 ， 为 啥 就 是 无 法 挂 载 或 写 入 呢 ? 是 否 是 服务 器 设 定 哪里 还 有 问题 啊 ? 非 也 非 也 | 主 
要 的 问题 常常 是 来 自 于 Linux 文件 系统 的 权限 啦 ! 


举 上 面 的 例子 来 说 ， 当 你 无 法 挂 载 却 发 现 Linux 传统 权限 是 对 的 ， 那 么 肯定 是 SELinux 出 问 
题 一 这 部 份 得 要 用 setsebool 与 chcon 或 restorecon 等 指令 来 克服 。 另 外 就 是 ， 我 们 在 
smb.conf 当中 设 定 [project] 为 可 写 入 ， 亦 即 /home/project 是 可 写 入 的 。 假 设 smb1 属于 
Users 这 个 群 组 ， 因 此 以 smb1 登入 SAMBA 服务器 后 ， 对 于 /home/project 应 该 是 具有 可 以 
读 写 的 能 力 的 ! 但是， 如果 你 以 root 的 身份 建立 /home/project 却 又 忘记 修改 权限 的 话 ， 此 
时 /home/project 是 无 法 让 Users 这 个 群 组 写 入 的 ， 因 此 smb1 这 个 使 用 者 当然 不 具有 写 入 的 
能 力 。 这 样 说 ， 了 解 岛 哥 想 要 说 啥 了 吗 ? 注意 注意 喔 1 人 和 


那 如 果 你 还 要 扩充 分 享 的 目录 与 能 够 登入 的 使 用 者 时 ， 可 以 这 样 做 : 


。 利用 编辑 smb.conf 来 开放 其 他 的 目录 资源 ， 并 且 特 别 注意 Linux 在 该 目录 下 的 权限 喔 ! 
请 使 用 chown 与 chmod 吧 ! 

。 利用 pdbedit 来 新 增 其 他 可 用 Samba 的 账号 ， 如 果 该 账号 并 没有 出 现在 /etc/passwd 里 
面 ， 请 先 以 useradd 新 增 该 账号 ; 

e 不 论 进行 完 任 何 的 设 定 ， 请 先 以 testparm 进行 确认 ， 之 后 以 /etc/init.d/{smb,nmb} restart 
来 重新 局 动 ! 


事实 上 ，SAMBA 的 一 般 用 途 就 是 在 这 个 联机 的 模式 中 ! 多 使 用 SAMBA 来 分 享 你 的 资源 吧 ! 
岛 哥 都 是 使 用 SAMBA 来 做 为 远程 服务 器 与 我 的 工作 机 互通 有 无 的 重要 媒介 说 ~ 


16.2.5 设 定 成 为 打印 机 服务 器 (CUPS 系统 ) 


时 至 今日 ， 打 印 机 的 网 络 功能 已 经 很 强悍 了 ! 甚至 也 有 支持 无 线 网 络 的 打印 机 ， 因 此 每 台 打 
印 机 都 可 以 独立 作为 各 个 PC 的 独自 的 打印 机 ， 老 实说 也 没有 必要 进行 Samba 的 网 络 打印 机 
服务 器 啦 ! 但 毕竟 还 是 有 些 比 较 旧 型 的 机 种 ， 或 者 买 不 起 有 内 建 网 络 的 打印 机 时 ， 那 么 
Samba 的 打印 机 服务 器 还 是 有 存在 的 价值 嚼 。 


在 Linux 底下 进行 打印 的 服务 很 多 ， 不 过 我 们 这 里 要 介绍 的 仅 有 目前 较 广 为 流行 的 CUPS 
(Common Unix Printing System) 这 一 个 。 详细 的 CUPS 安装 设 定 方法 我 们 已 经 在 基础 篇 第 
三 版 第 二 十 一 章 CUPS 当中 提 过 ， 所 以 这 里 我 们 不 再 详细 说 明 ， 仅 介绍 大 致 的 处 理 流 程 就 是 
了 。 如 果 你 需要 较 早期 的 LPRng 打印 系统 的 话 ， 建 议 可 以 参考 底下 的 数据 喔 : 


e 依 玛 猫 的 打印 文件 : http://www.imacat.idv.tw/tech/Inxprint.html 
。 乌 哥 的 LPRng 简介 : http://linux.vbird.org/linux_server/0370samba/0370samba.php 


Tips: 在 这 个 小 节 中 ， 鸟 哥 假 设 你 的 打印 机 并 不 是 网 络 打 印 机 ， 而 是 使 用 USB 接口 连接 的 打 
印 机 格式 。 如 果 你 的 打印 机 申 的 有 支持 网 络 ， 那 建议 直接 参考 打印 机 手册 来 设 定 即 可 ， 不 需 
要 安装 Samba 打印 机 。 因 为 茶 些 厂 牌 的 打印 机 网 络 卡 有 特殊 的 功能 ， 例 如 HP 的 网 卡通 常 还 
支持 某 些 特殊 的 打印 功能 ( 双 面 、 多 页 打印 等 )， 这 些 功 能 透 过 伺服 器 重新 分 享 时 ， 可 能 会 遗 


。 0. 假设 条 件 


既然 要 分 享 打印 机 ， 就 得 要 有 打印 机 啊 ! 鸟 哥 使 用 对 Linux 支持 度 较 高 的 HP LaserJet 
P2015dn 这 部 打印 机 为 例 ， 不 使 用 网 络 功 能 ， 单 纯 使 用 USB 连接 到 Samba 服务 器 上 。 


CUPS 连接 到 USB 打印 机 ， 并 且 开 放 非 本 机 的 IP 来 源 使 用 此 打印 机 ; 
使 用 CUPS 内 建 的 打印 机 驱动 程序 ; 


前 往 HP 打印 机 官网 取得 Windows 操作 系统 的 驱动 程序 ; 


1. 安装 打印 机 与 确定 打印 机 的 联机 正常 


再 次 说 明 ， 并 不 是 所 有 的 打印 机 都 被 Linux 所 支持 的 ， 所 以 当 你 想 要 链接 一 部 打印 机 到 Linux 
系统 上 头 时 ， 请 务必 到 http://www.openprinting.org/printers 上 头 去 看 看 是 否 有 被 支持 喔 ! 如 
果 没 有 被 支持 ， 那 就 换 一 部 打印 机 吧 ! 不 要 进行 重 死 的 挣扎 了 .… 


如 果 你 的 打印 机 端口 为 使 用 USB 或 者 是 平行 串 行 端口 的 话 ， 那 么 当 你 连接 上 打印 机 后 ， 可 以 
利用 底下 的 方式 测试 看 看 是 否 成 功 的 连接 上 了 : 


[root@www ~]# lsusb 

Bus 001 Device 002: ID 03f0:3817 Hewlett-Packard LaserJet P2015 series 
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 
[root@www ~]# 11 /dev/usb/1lp0 

Crw-rw----. 1 root lp 180, © Jul 29 13:55 /dev/usb/1p0 

# 看 得 出 来 ， 已 经 有 个 1pe 的 打印 机 哆 1 测试 打印 一 下 吧 ! 


[root@www ~]# echo "Hello printer" &gt; /dev/usb/1p90 


如 果 打 印 机 有 响应 ， 这 表示 OK 的 啦 ! 你 可 以 进行 底下 的 工作 了 。 
。 2. 设 定 CUPS 与 打印 机 的 联机 


预 设 CUPS 都 会 开启 ， 不 过 ， 因 为 我 们 安装 的 是 『 basic server 4 的 模式 ， 所 以 CUPS 默认 
并 没有 被 安装 起 来 。 所 以 这 里 要 安装 且 重 新 设 定 与 启动 才 行 。 本 章节 CUPS 的 设 定 原则 是 这 
样 的 : 


e 我 需要 让 192.168.100.0/24 这 个 网 域 可 以 使 用 打印 机 
e。 我 需要 让 192.168.100.0/24 及 127.0.0.0/8 可 以 管理 CUPS 系统 


然后 开始 这 样 做 : 


[root@www ~]# yum groupinstal] "Print Server" 
[root@www ~]# vim /etc/cups/cupsd.conf 

# 1\， 让 监听 的 接口 开放 在 所 有 接口 ! 

# Listen Localhost:631 &lt;== 约 在 第 18 行 左右 ， 改 成 如 下 : 
Listen 0.0.0.0:631 


# 2\， 让 内 部 网 域 能 够 进行 CUPS 的 浏览 与 管控 

&lt;Location /&gt; &1t ;== 约 在 32 行 左右 ， 新 增 能 够 让 内 网 其 他 IP 浏览 者 
Order allow, deny 

Allow From 127.0.0.0/8 
Allow From 192.168.100.0/24 

&lt;/Locationg&gt; 


&lt;Location /adminggt; &1t;== 约 在 39 行 左右 ， 新 增 能 够 管理 CUPS 者 
Encryption Required  ”&1lt;== 因 为 这 里 的 关系 ， 所 以 可 能 会 用 https://IP 喔 ! 
Order allow,deny 

Allow From 127.0.0.0/8 
Allow From 192.168.100.0/24 

&lt;/Locationg&gt; 


设 定 完毕 后 就 可 以 开始 来 启动 cups 系统 ， 可 以 这 样 做 : 


[root@www ~]# /etc/init.d/cups start 

[root@www ~]# chkconfig cups on 

[root@www ~]# netstat -tunlp &#124; grep 'cups' 

tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 1851/cupsd 
udp 0 0 0.0.0.0:631 0.0.0.0:* 1851/cupsd 


那个 631 的 堆 口 就 是 CUPS 所 启动 的 啦 ! 要 注意 的 是 ， 开 放 界 面 得 要 给 0.0.0.0 才 对 哟 ! 然 


后 我 们 可 以 开始 设 定 打印 机 了 |! 由 于 CUPS 支持 很 多 不 同 的 打印 机 端口 ， 每 种 端口 都 不 一 
样 ， 常 见 的 有 : 


e。 USB 端口 : usb:/dev/usb/lp0 
e 网 络 打印 机 : ipp:Wip/ 打 印 机 型 号 
e。 网 络 芳 邻 打印 机 : smb://user:password@host/printer 


之 所 以 要 加 上 192.168.100.0/24 可 以 控制 服务 器 CUPS 的 原因 在 于 ... 鸟 哥 的 服务 器 没有 X 窗 
口 啦 | 所 以 需要 透 过 平时 的 工作 机 连 上 服务 器 才 行 啊 ! 此 时 ， 将 CUPS 开放 在 区 网 内 可 以 控 
制 的 功能 就 很 重要 啦 ! 此 外 ， 因 为 岛 哥 的 主机 所 在 环境 问题 ， 这 部 192.168.100.254 还 有 一 
个 界面 为 192.168.1.100， 乌 哥 在 cupsd.conf 里 面 也 加 入 这 个 网 段 了 (上面 的 范例 中 并 没有 特 
别 强调 )， 所 以 底下 的 图 示 你 会 看 到 很 多 192.168.1.100 的 IP ， 不 要 害怕 ! 那 是 正常 的 | 

和 人 1 好 了 ， 请 打开 浏览 器 ， 在 网 址 列 输 入 : https://192.168.100.254:631 (底下 则 是 
192.168.1.100) 





乌 哥 的 Linux 私 房 菜 : 服务 器 架 





您 要 求 Firefox 和 192.168.1.100:631 建立 实 全 连 入 :但 是 我 们 无法 确认 目前 的 连 牺 是 安全 的 。 


一 般 来 襄 ， 当 您 建立 实 全 圳 狠 时 ' 网 站 会 提供 身分 识别 以 发 明 您 过 到 了 正确 的 地 方 * 但 此 网 站 
的 身分 托 法 被 验证 


我 访 怎 度 办 ? 
若 您 平常 不 从 过 到 过 个 问题 ， 此 错误 讯息 代表 有 人 正 武 苦 假冒 对 桐 站 ， 您 不 该 疮 丁 浏览 
带 我 届 并 这 里 1 | 2 

r 技术 竹简 


7 我 了 解 此 安全 必 除 


如 果 您 知道 高 何 错误 ' 您 可 以 识 Fiefox 改 信任 此 身分 识别 资讯 ”即便 您 信任 此 帮 站 ， 此 敌 尾 
依然 代表 有 人 正 试 著 息 时 该 薪 站 。 


除非 您 有 理由 确定 此 多 站 身分 匆 别 资讯 治 有 问题 ， 否则 切 匆 新 增 例 外 欧 站 
新 增 倒 外 网 站 … | 一 一 一 3 





图 16.2-1、 用 CUPS 设 定 USB 打印 机 


如 上 图 所 示 ， 由 于 我 们 使 用 的 是 https 这 个 需要 和 凭证 的 联机 模式 ， 因 此 就 会 出 现 这 个 不 受信 任 
的 网 站 讯息 。 没 关系 ， 你 直接 按 下 『 我 了 解 安 全 风险 」 后 ， 再 选择 『 新 增 例外 网 站 」 即 可 出 
现 如 下 图 示 : 
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新 塌 安 全 例外 x| 
”” 候 正 试 加 可 莽 Fiefox 要 如 何 识别 此 想 站 的 设 定 * 
A 请 注意 ， 合法 的 娟 行 、 商 店 或 其 他 公转 蒋 站 不 富 要 求 您 运 诬 做 ! 
-伺服 器 
位 址 : 






st192.168.1.100:6311 











-天 证 状态 
此 料 站 党 试 用 大 区 的 咨讯 缴 别 自己 * 
处 误 的 揣 站 


通 证 局 疮 不同 的 袍 站 ' 该 筒 站 的 身分 可 能 已 被 容 用 * 1 
未 知 身分 


源 证 未 受信 任 ， 因 高 肖 未 被 认得 的 汤 证 楼 权 验 证 
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lv 永久 仍 存 此 例外 思 











确认 安全 例外 纪 ) | 取消 


图 16.2-2、 用 





CUPS 设 定 USB 打印 机 


如 果 这 部 主机 莫 的 是 你 的 ， 那 么 就 选择 箭头 2 所 指 的 那个 『 永 久 储存 」 吧 ! 最 后 按 下 箭头 3 
所 指 的 『 确 认 安 全 例外 J 即 可 | 如 果 一 切 顺利 ， 就 会 出 现 如 下 的 CUPS 设 定 图 示 : 


pe 


白 可 上 |; 之 访 。，。 有 以 强加 7 沁 镶 筷 二 HE 
马 哥 的 Linux 私 房 采 : 服务 鞠 溢 设 篇 第 三 版 


和 于-COPS 2 Mo FE 
档案 四 编辑 巴 榨 视 二 历史 侣 书 铬 全 工具 全 说 明 ( 呈 UD 


< | 中 || EB https://192.168.1.100:631/admin 






合 Home | Administration | Classes | Online Help dobs | Printers ||Search Help 


Printers 2 Server 


dd Printer | Find New Printers Edit Configuration File | View Access Log | Wiew Error Los 
Manage Printers View Page Log | 











Server Settings: 
Classes 
Advanced 
aqq Class | Manage Classes lv Show printers shared by other systems 
FF Share printers connected to this System 
- Pi 厂 上 mw Mrintinn fram the pp 二 





图 16.2-3、 用 CUPS 设 定 USB 打印 机 


在 上 头 的 欢迎 图 示 当 中 ， 由 于 我 们 是 想 要 建立 打印 机 ， 因 此 点 选 箭头 (1) 所 指 的 那个 按钮 进入 
打印 机 功能 ， 然 后 点 选 (2) 来 建立 打印 机 吧 ! 
EEC > 

3 https:W192.168.1.100:631 要 求 输 入 帐号 及 密码 ， 喜 燃 站 吕 : "CUPS" 


使 用 者 名 三 : | root 


密码 | @@@ 人 9 全 | 


| 


图 16.2-4、 用 CUPS 设 定 





USB 打印 机 


这 一 版 比较 有 趣 的 地 方 ， 是 会 先 让 你 输入 账号 与 密码 才 进 行 后 续 的 动作 哩 1 所 以 这 里 请 输入 
root 的 帐 密 吧 1 


16.2 SAMBA 服务 器 的 基础 设 定 547 


向 可 yb: vv 下 记 芝 ,。， 肥 久 邓 加 这 入 筷 二 HE 
马 可 的 LinuX 私 房 采 :服务 绒 共 也 属 轴 三 版 





忆 新 增 印 表 栅 - CUPS 1.4.2 - Mozilla Firefox 夯 回 历 
档案 四 编辑 巴 ， 核 视 名 历史 地 韦 敌 田 工具 加 诸 明 蝶 


各 富 | .IE httpsw192168.1.100.631jafmin/ 
一 -一 


Add Printer Ea 


C SCSI 印 表 楼 
Discovered Network Printers: 


Other Network Printers: 人 售 Internet 好 [ 邱 通 斌 起 定 ihttps) 
全 Internet 列 印 通读 协定 (ipp) 
人 Internet 列 印 通读 协定 (http) 
个 LPDILPR 主楼 或 印 表 杰 
© Vyindovwws Printer via SANIBA 
© AppSocketiHP JetDirect 
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图 16.2-5、 用 CUPS 设 定 USB 打印 机 


在 上 面 的 图 示 中 ， 你 应 该 要 选择 的 是 我 们 这 部 本 机 的 USB 打印 机 装置 才 对 。 该 装置 是 由 HAL 
服务 所 自动 侦 测 到 的 ， 如果 你 没有 看 到 任何 USB 的 打印 机 ， 那 可 能 就 得 要 查询 一 下 打印 机 电 
源 是 否 正确 的 开启 了 上 ! 点 选 他 吧 ! 












引 新 增 印 表 树 - CUPS 1.4.2 - Mozilla Firefox silaljxl 
档案 四 编辑 巴 ， 梳 视 名 历史 闻 者 竹田 ) ”工具 中 说 明 加 


二 [人 ER rts:192 168.1.100:631/sdmin 


Add Printer 





Name: [HP_Laser et_F2015_Series 


(hvlay contain any printable characters except "A, "#', and space) 


Description: [HP LaserJet P2015 Series 


tHuman-readable description such as "HP LaserJet with Duplexer") 
2 Location: [YBira's Office 
(Human-readable location such as "Lab 1" 1 
es usbiiiHPiLaserJet%20P2015%20Series 
Sharing: [vi Share This Printer 


Continue = 3 


图 16.2-6、 用 CUPS 设 定 USB 打印 机 


建立 打印 机 时 ， 最 重要 的 是 那个 打印 队列 (上 面 方 框 中 的 第 一 个 ， 名 称 的 那个 玩意 儿 )， 在 这 
里 鸟 哥 使 用 CUPS 预 设 帮 我 捉 到 的 档 名 。 这 个 名 称 很 重要 ， 是 未 来 分 享 出 的 打印 机 名 字 嘿 ! 
至 于 位 置 与 描述 就 随便 你 填 哆 。 由 于 我 们 是 想 要 做 成 打印 服务 器 ， 所 以 『share this printer J 


CC 


16.2 SAMBA 服务 器 的 基础 设 定 548 


E 可 7 . a 衬 让 。 HB 友 吧 力 AS AS 二 Jc 
马 可 的 Linux 私 房 条 : 服务 先 宁 设 遍 第 三 版 


当然 要 义 选 ! 当 你 按 下 『 继 续 J 后 ， 就 会 出 现 如 下 图 示 : 


新 塌 印 表 村 - CUPS 1.4.2 - Mozilla Firefox 





档案 巴 ”编辑 加 核 视 多) 历史 他 书签 加 工具 名 说 明 U 


«2 [Grr httpsyl92.168.1 100.631 dmin 会 
A 二 | 


Connection: usbiiiHP/iLaserJet%20P2015%20Series 
Sharing: Share This Printer 
Make: HP select Another Mage/fanufacturer 


Model: Weiliem eyn 基站 [en) 
HP LaserJet P2015 Series Postscript py 
HP Laserlet P2015 Sernies Postscript (en) 
HP LaserJet P2015 Series Postscript (en) 
HP LaserJet P2015 Series Postscript (en) 

HP 910, hpeups 3.9.8 (en) 1 

HP 915, hpours 3.9.8 (en) 

HP2000c hpours 3.9.8 (en) 

HP 2500c, hpours 3.9.8 (en) 

HP Business mt 1000, hpcurs 3.9.8 (en) 可 


Or Provide a PPD File: | 济 驳 … | 












图 16.2-7、 用 CUPS 设 定 USB 打印 机 


接 下 来 CUPS 会 帮 你 选择 一 个 相对 较 佳 的 驱动 程序 ， 基 本 上 ， 使 用 CUPS 帮 你 捉 到 的 预 设 驱 
动 程序 应 该 就 OK 了 ! 选 完 后 请 按 下 『 加 入 打印 机 J 按钮 吧 | 












站 起 定 印 表 衬 选 项 - CUPS 1.4.2 - Mozilla Firefox 





SE 编辑 十” 检视 (号 ”历史 售 书 铬 加 工具 加 说 明 人 0 
I€|>, € > < 9 [GES re 1681 100:631dmin 





General ”已 安装 的 选项 ”本 话 政策 





General 
Media Size: [Leter 8.5x11in "| 
Double-Sided Printing: [of -| 


Media Source: [Avto-Select "| 
Output Mode: [Grayscale "| 
Media Type: [Plain Paper "| 
Print Quality: [Nommal "| 
Set Default Options | 一 
m= bs 
图 16.2-8、 用 CUPS 设 定 USB 打印 机 





16.2 SAMBA 服务 器 的 基础 设 定 549 


看 你 还 有 没有 要 修改 其 他 的 预 设 参数 ， 如 果 没 有 的 话 ， 就 按 下 图 16.2-8 的 『Set Default 
OptionsJ 按钮 吧 ! 如 果 一 切 没有 问题 ， 你 的 打印 机 就 设 定 妥 当 了 。 如 果 想 要 查阅 打印 机 的 详 
细 信 息 ， 那 可 以 点 选 Printer 的 项 目 ! 如 下 图 所 示 : 


入 印 表 村 - CUPS 1.4.2 - Mozilla Firefox 
档案 加 编辑 巴 梳 视 名 历史 他 书 镶 号 工具 全” 说明) 














€ 3 [GI https/192.168.1.100.631jprintery 
> Home | Administration | Classes | Online Help dobs Printers ||Search Healp 
Search in Printers: Search | Clear | 
Showing 1 of 1 printer. 
v Queue Name Y Description Location Make and Model Stat 


HP LaserJet YBird's HP LaserJet p2015 Series 


P2015 Series Ofice pcl3.hpcups3.9.8 bE 


HP_LaserJet P2015_ Series 


S and the CUPS logo are trademarks of Apple Inc. CUPS is copyright 2007-2009 Apple Inc. All rights reserved. 起 
»| 


Ei 





图 16.2-9、 用 CUPS 设 定 USB 打印 机 


如 果 都 正常 没 问 题 ， 那 么 你 的 系统 已 经 有 一 部 打印 机 被 CUPS 所 管理 ， 且 这 部 打印 机 在 网 络 
的 网 址 为 : 


e http:// 服 务 器 IP:631/printers/ 打 印 机 队列 名 称 
® http://192.168.100.254:631/printers/HP_LaserJet P2015_ Series 


接 下 来 看 看 如 何 将 它 连结 到 咱们 的 Samba 服务 器 中 吧 ! 
。 3. 在 smb.conf 当中 加 入 打印 机 的 支持 (Optional) 


开始 告诉 Samba 将 这 部 打印 机 给 他 分 享 出 去 吧 ! 你 需要 这 样 处 理 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globall] 
# 得 要 修改 load printers 的 设 定 ， 然 后 新 增 几 个 数据 
load printers = yes 
cups options = raw &1t ;== 可 支持 来 自 Windows 用 户 的 打印 作业 
printcap name = cups 
printing = cups &1t;== 与 上 面 这 两 个 在 告知 使 用 CUPS 打印 系统 
[printers] &]lt;== 打 印 机 一 定 要 写 printers 咀 ! 
comment = All Printers 
path = /var/spoo1/samba&1t;== 预 设 把 来 自 samba 的 打印 作业 暂时 放置 的 队列 
browseable = no &1lt;== 不 被 外 人 所 浏览 啦 ! 有 权限 才 可 浏览 
guest ok = no &1t ;== 与 底下 两 个 都 不 许 访客 来 源 与 写 入 ( 非 文 件 系 统 ) 
writable = no 
printable = yes &1t ;== 允 许 打 印 很 重要 的 一 项 工作 | 


[root@www ~]# testparm &1lt;== 若 有 错误 ， 请 自行 处 理 一 下 
[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 


基本 上 透 过 这 样 的 设 定 你 的 Samba 就 能 够 顺利 的 提供 打印 机 的 服务 了 ! 不 过 可 惜 的 是 ， 
Windows 客户 端 依旧 得 要 安装 打印 机 的 驱动 程序 才能 够 使 用 Samba 所 提供 的 打印 机 ， 此 时 
监 是 麻烦 兼 讨厌 啊 一 有 没有 可 能 让 Samba 主动 的 提供 驱动 程序 给 使 用 者 ， 这 样 一 来 客户 端 就 
不 需要 额外 去 找 驱 动 程序 哩 ! 是 可 以 的 ， 透 过 Samba 3.x 即 可 处 理 ! 就 这 么 巧 ，CentOS 的 
Samba 就 是 3.x 呢 ! 所 以 我 们 可 以 透 过 底下 的 方式 来 处 理 。 


e 4. 让 Samba 主动 提供 驱动 程序 给 Windows 用 户 使 用 


另外 ， 或 许 你 会 想 ， 打 印 机 的 型 号 这 么 多 ， 那 么 Linux 该 如 何 提供 这 些 打 印 机 的 驱动 程序 
啊 ? 岂 不 麻烦 ? 还 好 啦 ，CUPS 主要 是 透 过 利用 Postscript 的 打印 语言 与 打印 机 沟通 的 ， 
此 客户 端 只 要 取得 postscript 的 驱动 程序 他 们 就 能 够 使 用 咱们 的 Samba 服务 器 所 提供 的 打印 
机 了 | 如 此 一 来 ， 不 论 打 印 机 的 型 号 为 何 ， 只 要 他 们 能 够 支持 Postscript 的 打印 格式 ，OK 
搞定 ! 而且 CUPS 官网 本 身 就 有 提供 CUPS 的 Postscript 驱动 程序 嚼 ! 可 以 到 底下 的 连结 去 
下 载 : 


e。 支持 CUPS 的 软件 : http://www.cups.org/software.php 


很 棒 的 是 ， 因 为 我 们 是 CentOS 6.x 有 支持 rpm 软件 封装 的 系统 ， 因 此 可 以 直接 下 载 cups- 
windows-6.0-1.i386.rpm 这 个 档案 即 可 ， 直 接 安 装 这 个 rpm 档案 就 能 够 取得 cups 对 
Windows 的 打印 机 驱动 程序 了 。 这 个 档案 安装 完毕 之 后 ， 会 将 驱动 程序 放置 于 
/usr/share/cups/drivers/ 里 头 哆 ! 不 过 你 得 要 注意 的 是 ， 除 了 这 个 驱动 程序 外 ， 要 支持 
Windows 2000 以 后 出 产 的 Windows 版 本 ， 你 还 得 到 Windows XP 底下 的 目录 去 下 载 几 个 
32 位 支持 的 档案 : 


。 Win XP 32 位 : C:\WINDOWS\system32\spool\drivers\Ww32x86\3 


将 该 目录 下 里 面 的 PS 开头 的 档案 通通 下 载 下 来 ， 应 该 有 四 个 档案 的 ， 请 将 他 复制 成 为 档 名 小 
写 的 档案 ， 并 且 放置 到 你 Samba 服务 器 上 的 /usrshare/cups/drivers/ 目录 下 ， 该 目录 内 放置 
的 这 就 是 基本 的 驱动 程序 说 1 在 鸟 哥 的 这 个 目录 底下 至 少 含有 这 几 个 档案 就 是 了 : 


[root@www ~]# 11 /usr/share/cups/drivers 





-rw-r--r 1 root root 803 4 月 20 2006 cups6.inf 

-rw-r--r-- 1 root root 72 4 月 20 2006 cups6.ini 

-rw-r--r-- 1 root root 12568 4 月 20 2006 cupsps6.d1l 

-rw-r--r-- 1 root root 13672 4 月 20 2006 cupsui6.d11 &lLt;== 上 面 为 cups 提供 
-rw-r--r-- 1 root root 129024 3 月 24 13:29 ps5ui.dl1 &lLt ;== 底 下 为 Win XP 提供 
-rw-r--r-- 1 root root 455168 3 月 24 13:29 pscript5.d11 

-rw-r--r-- 1 root root 27568 3 月 24 13:29 pscript.hlp 

-rw-r--r-- 1 root root 792644 3 月 24 13:29 pscript.ntf 


上 述 的 档案 乌 哥 将 他 打包 成 为 一 个 档案 了 ， 你 可 以 在 底下 的 连结 下 载 : 
e http://linux.vbird.org/linux_server/0370samba/cups-samba-windowsxp.tgz 


不 过 你 得 注意 ， 这 个 档案 内 的 Windows 数据 是 由 32 位 的 Windows XP 上 面 提 来 的 ， 所 以 对 
于 Windows 98/ME 是 没有 作用 的 。 同 时 ， 对 于 64 位 的 其 他 较 晚 期 的 Windows 7 等 系统 可 能 
就 得 要 重新 处 理 了 | 你 得 自行 上 网 查阅 相关 的 数据 下 载 方式 喔 。 接 下 来 我 们 必须 要 在 


smb.conf 里 面 增加 一 笔 新 的 分 享 数据 ， 这 个 分 享 数据 必须 是 [print$] 名 称 才 行 ! 有 点 类 似 这 
样 啦 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globall] 
.. ,.( 设 定 保留 原本 数据 ),... 
[homes] 
.. ,.( 设 定 保留 原本 数据 ) ,... 
[printers] 
.. ,.( 设 定 保留 原本 数据 ) ,... 
[print$] 
comment = Printer drivers 
path = /etc/samba/drivers  &1lLt;== 存 放 打 印 机 驱动 程序 的 目录 
browseable = yes 
guest ok = no 
read only = yes 
write list = root &1t ;== 这 个 驱动 程序 的 管理 员 
[project] 
.. , .( 设 定 保留 原本 数据 ) ,... 


[root@www ~]# mkdir /etc/samba/drivers 

[root@www ~]# chcon -t samba_share_t /etc/samba/drivers 

# 由 于 预 设 的 CUPS 仅 有 root 能 管理 ， 因 此 我 们 以 root 作为 打印 机 管理 员 ; 

# 同时 SELinux 的 类 型 也 要 修订 如 上 的 方式 ! 那 root 就 得 要 加 入 Samba 的 支持 才 行 : 
[root@www ~]# pdbedit -a -u root 


[root@www ~]# testparm &1t; == 测试 语法 
[root@www ~]# /etc/init.d/smb restart &lt;== 重 新 启动 


[root@www ~]# smbclient -L //127.0.0.1 -U root 
Enter root's password: &lLt;== 输 入 root 在 samba 的 密码 先 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Sharename Type Comment 

print$ Disk Printer drivers 

project Disk smbuser's project 

HP_LaserJet_ P2015_ Series Printer HP LaserJet P2015 Series 

IPC$ IPC IPC Service (This is vbird's samba server) 
root Disk Home Directories 


# 瞧 1 有 看 到 一 部 打印 机 以 及 驱动 程序 所 在 的 分 享 数据 哆 ! 


现在 我 们 要 告知 Samba 说 ， 我 们 的 CUPS 可 提供 Windows 客户 端的 驱动 程序 ， 所 以 用 户 不 
需要 自行 设 定 他 们 的 驱动 程序 哩 1 要 由 cUps 告知 Samba 是 由 cupsaddsmb 这 个 指令 来 搞定 
的 ， 整 个 指令 的 执行 很 简单 的 : 


[root@www ~]# cupsaddsmb [-H SAMBA 服务 器 名 ] [-h CUPS 服务 器 名 ] \\ 
&gt; -a -Vv [-U 使 用 者 账号 ] 

选项 与 参数 : 

-H :后 续 接 的 是 Samba 服务 器 名 ， 本 机 的 话 可 以 直接 用 localhost 即 可 ; 

-h : 后续 接 的 为 CUPS 的 服务 器 名 ， 同 样 的 可 使 用 localhost 即 可 ; 

-a :自动 搜寻 出 所 有 可 用 的 CUPS 打印 机 ; 

-V : 列 出 更 多 的 信息 ; 

-U :打印 机 管理 员 


# 利用 前 面 的 说 明 将 打印 机 驱动 程序 挂 上 SAMBA (注意 CUPS 管理 员 预 设 是 root) 

[root@www ~]# cupsaddsmb -H localhost -U root -a -V 

Password for root required to access localhost via SAMBA: &lt;==root 在 SAMBA 密码 
# 这 里 会 闪 过 很 多 的 讯息 ， 说 明 已 经 安装 了 某 些 信 息 ， 底 下 鸟 哥 仅 列 出 简单 的 讯息 而 已 。 

Running command: smbclient //localhost/print$ -N -A /tmp/cupsbrdBaE -c 'mkdir 
W32X86;put /tmp/cupsu130SU W32X86/HP_LaserJet_P2015_Series.ppd;... 


[root@www ~]# 11 /etc/samba/drivers 
drwxr-xr-x. 3 root root 4096 Jul 29 15:15 W32X86 &lt;== 这 就 是 驱动 程序 目录 


最 后 在 驱动 程序 的 存放 目录 会 多 出 一 个 W32X86 的 目录 ， 你 可 以 查询 一 下 该 目录 的 内 容 ， 那 
就 是 预计 要 给 客户 端 使 用 的 驱动 程序 啦 1 这 样 就 搞定 了 |! 不 过 ， 为 了 将 所 有 的 数据 通通 驱 
动 ， 建 议 你 将 CUPS 及 SAMBA 通通 重新 启动 吧 | 


[root@www ~]# /etc/init.d/cups restart 
[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 


e 5. 一 些 问 题 的 克服 : 


如 果 一 切 顺 利 的 话 ， 你 在 Windows 客户 端 应 该 可 以 顺利 的 连接 到 打印 机 嚼 ! 开心 吧 ! 不 过 ， 
如 果 你 曾经 印 错 数据 ， 那 么 该 如 何 进入 Linux 的 Samba 主机 将 该 数据 移 除 呢 ? 你 最 好 知道 
底下 的 几 个 指令 ， 关 于 这 些 指令 的 进 阶 用 法 则 请 自行 给 他 man 看 看 了 : 


# 1\， 列 出 所 有 可 用 的 打印 机 状态 
[root@www ~]# lpstat -a 
HP_LaserJet_ P2015_Series accepting requests since Fri 29 Jul 2011 02:55:28 PM CST 


# 2\， 查 询 目 前 默认 打印 机 的 的 工作 情况 

[root@www ~]# lpq 

hp1jp2015dn 已 就 绪 

没有 项 目 

# 列 出 打印 机 的 工作 ， 若 有 打印 作业 存在 时 (例如 关 掉 打印 机 再 印 测试 页 )， 会 如 下 所 示 : 
hpljp2015dn 已 就 绪 并 正在 打印 


等 级 拥有 人 ”工作 档案 总 计 大 小 
active root 2 Test Page 17408 byte 


# 3\， 删除 所 有 的 工作 项 目 喔 ! 
[root@www ~]# lprm - 
# 加 上 那个 减 号 (-) 代表 移 除 所 有 等 待 中 的 打印 作业 ! 


打印 作业 就 是 这 样 进 行 的 啦 ! 赶紧 试看 看 吧 ! 接 下 来 探讨 一 下 相关 的 防火 墙 与 安全 性 的 讨 


论 ! 


16.2.6 安全 性 的 议题 与 管理 


使 用 SAMBA 其 实 是 有 一 定 程 度 的 危险 性 的 ， 这 是 因为 很 多 网 络 攻 击 的 蠕虫 、 病 毒 、 木 马 就 
是 透 过 网 芳 来 攻击 的 ! 为 了 抵挡 不 必要 的 联机 ， 所 以 CentOS 5.x 预 设 的 SELinux 已 经 关闭 
了 很 多 Samba 联机 的 功能 ， 因 此 预 设 情况 下 ， 很 多 客户 端的 挂 载 可 能 会 有 问题 。 此 外 ， 仅 
开放 有 权限 的 网 域 来 源 ， 以 及 透 过 smb.conf 来 管理 特定 的 权限 ， 也 是 很 重要 的 ! 同时 ， 
Linux 文件 系统 的 r, W, X 权限 也 是 需要 注意 的 喔 1 我 们 底下 就 简单 的 介绍 一 下 一 些 基 本 的 安 
全 性 管理 吧 | 


e。 SELinux 的 相关 议题 : 


其 实 就 如 同 第 七 草 (7.4.5) 里 面 提 到 的 ， 我 们 透 过 登录 档 的 内 容 就 能 够 知道 如 何 解决 SELinux 
对 各 个 服务 所 造成 的 问题 了 。 不 过 ， 既 然 我 们 知道 服务 是 Samba 了 ， 能 不 能 找 出 与 Samba 
有 关 的 SELinux 规则 呢 ? 当然 可 以 1 基本 的 Samba 规则 主要 有 : 


[root@www ~]# getsebool -a &#124; grep samba 
samba_domain_controller --&gt; off &]lt;==PDC 时 可 能 会 用 到 
samba_enable_home_dirs --&gt; off  ”&]t;== 开 放 用 户 使 用 家 目录 
samba_export_all ro --&gt; off &1t ;== 人 允许 只 读 文 件 系 统 的 功能 
samba_export_all rw --&gt; off &1t ; == 允许 读 写 文件 系统 的 功能 
samba_share_fusefs --&gt; off 

Samba_share_nfs --&gt; off 

use_samba_home_dirs --&gt; off &1t ;== 类 似 用 户 家 目录 的 开放 ! 
Virt_use _ samba --&gt; off 


看 吧 ! 几乎 所 有 的 规则 默认 都 是 关闭 的 ! 所 以 我 们 需要 慢 慢 的 打开 啊 ! 目前 我 们 仅 会 用 到 用 
户 的 家 目录 以 及 分 享 成 为 可 擦 写 ， 不 过 似乎 仅 要 samba_enable_home dirs 那个 项 目 设 定 受 
当即 可 吕 ! 因此 我 们 可 以 这 样 做 : 


[root@www ~]# setsebool -P samba_ enable home_ dirs=1 
[root@www ~]# getsebool -a &#124; grep samba_enable_home 
samba_enable_home_dirs --&gt; on 


这 样 用 户 挂 载 他 们 的 家 目录 时 (例如 smb1 使 用 //127.0.0.1/smb1/) 就 不 会 出 现 无 法 挂 载 的 怪 
问题 了 ! 此 外 ， 由 于 分 享 成 为 Samba 的 目录 还 需要 有 samba share t 的 类 型 。 那 我 们 还 有 
分 享 /home/project 还 记得 吗 ? 那个 目录 也 需要 修订 喔 ! 这 样 做 看 看 : 

[root@www ~]# 11 -Zd /home/project 

drwxrws---. root users unconfined_u:object_r:home_root_t:s0 /home/project 

[root@www ~]# chcon -t samba_share_t /home/project 


[root@www ~]# 11 -Zd /home/project 
drwxrws---. root users unconfined_u:object_r:samba_share t:s0 /home/project 


如 果 你 分 享 的 目录 不 只 是 Samba ， 还 包括 FTP 或 者 是 其 他 的 服务 时 ， 那 可 能 就 得 要 使 用 
public_content t 这 个 大 家 都 能 够 读 取 的 类 型 才 行 ! 若 你 还 有 发 现任 何 SELinux 的 问题 ， 请 依 
照 /var/log/messages 里 面 的 信息 去 修订 吧 ! 

。 防火 墙 议题 : 利用 iptables 来 管理 


最 简单 的 管理 登入 SAMBA 的 方法 就 是 透 过 iptables 啦 ! 详细 的 说 明 我 们 已 经 在 第 九 章 防火 
墙 中 提 过 了 ， 所 以 这 里 不 再 详 加 说 明 。 要 知道 的 是 ， 如 果 你 仅 要 针对 底下 的 范围 开放 Samba 
时 ， 可 以 这 样 想 : 


。 仅 针 对 192.168.100.0/24, 192.168.1.0/24 这 两 个 网 域 开放 SAMBA 使 用 权 
。 SAMBA 启用 的 port UDP: 137, 138 及 TCP: 139, 445 ; 


所 以 iptables.allow 规则 当中 应 该 要 加 入 这 几 项 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

# 加 入 底下 这 几 行 1! 

iptables -A INPUT -i $EXTIF -p tcp -s 192.168.100.0/24 -m multiport \ 
--dport 139,445 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p tcp -s 192.168.1.0/24 -m multiport 和 
--dport 139,445 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 
--dport 137,138 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.1.0/24 -m multiport 和 
--dport 137,138 -j ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 是 很 简单 很 简单 的 防火 墙 规则 ， 你 必须 要 依据 你 的 环境 自行 修改 (通常 修改 那个 
192.168.1.0/24 网 段 即 可 1)。 由 于 smbd 及 nmbd 并 不 支持 TCP Wrappers ， 所 以 你 也 只 能 
透 过 iptables 来 控制 了 ~ 


e 防火 墙 议 题 : 透 过 内 建 的 Samba 设 定 (smb.conf) 


事实 上 Samba 已 经 有 许多 防火 墙 机 制 啦 ! 那 就 是 在 smb.conf 内 的 hosts allow 及 hosts 
deny 这 两 个 参数 。 通常 我 们 只 要 使 用 hosts allow 即 可 ， 那 么 没有 写 入 这 个 设 定 项 目的 其 他 
来 源 就 会 被 拒绝 联机 的 |! 这 是 比较 严格 的 设 定 。 举例 来 说 ， 如果 你 只 想 要 让 本 机 、 
192.168.100.254, 192.168.100.10, 192.168.1.0/24 使 用 SAMBA 而 已 ， 那 么 可 以 这 样 写 : 


[root@www ~]# vim /etc/samba/smb.conf 
[globall] 
# 跟 防火 墙 的 议题 有 关 的 设 定 
hosts allow = 127\. 192.168.100.254 192.168.100.10 192.168.1. 
[homes] 
0 
[root@www ~]# testparm 
[root@www ~]# /etc/init.d/smb restart 


这 个 设 定 值 的 内 容 支 持 部 分 比 对 ， 因 此 192.168.1.0/24 只 要 写 出 前 面 三 个 IP 段 即 可 
(192.168.1.)。 如 此 一 来 不 但 只 有 数 部 主机 可 以 登入 我 们 的 SAMBA 服务 器 ， 而 且 设 定 值 又 简 
单 ! 不 像 iptables 写 的 落落 长 ~ 鸟 哥 建议 在 防火 墙 议题 方面 ， 只 要 使 用 iptables 或 hosts 
allow 其 中 一 项 即 可 ， 当 中 又 以 hosts allow 较为 建议 哨 ! 当然 啦 ， 如 果 你 是 针对 区 网 开放 
的 ， 那 么 设 定 iptables 防火 墙 反而 是 比较 好 的 哆 ! 因为 不 需要 更 动 到 smb.conf 配置 文件 嘛 ! 
让 服务 的 设 定 变 的 比较 单纯 些 一 


。 文件 系统 议题 : 利用 Quota 限制 用 户 磁盘 使 用 


既然 网 芳 是 要 分 享 文件 系统 给 用 户 的 ， 那 么 想当然 尔 ， 各 个 Samba 用 户 们 确实 会 将 数据 放置 
到 你 的 Samba 服务 器 上 嘛 上 那 万 一 单个 用 户 随便 上 传 个 数 百 GB 的 容量 到 你 的 Samba 服务 
器 ， 而 且 常 常 给 你 随意 存 取 一 番 ， 会 不 会 造成 文件 系统 分 配 不 公 或 者 是 带宽 方面 的 问题 呢 ? 
想 想 就 觉得 是 『 会 嘛 ! 那 怎 办 ?就 透 过 Quota 磁盘 配额 啊 | 磁盘 配额 我 们 在 基础 篇 第 三 版 
第 十 五 章 已 经 谈 过 ， 在 本 书 第 一 章 (1.2.2-3) 里 面 也 已 经 有 实 作 过 ， 在 底下 请 你 依据 第 一 章 的 
后 续 动作 来 处 理 吧 | 


例题 : 我 们 预计 分 配 smb1, smb2, smb3 在 他 们 自己 的 家 目录 下 ， 各 拥有 300MB/400MB 
(soft/hard) 的 磁 瘟 配额 限量 ， 那 该 如 何 做 ? 答 : 请 先 依据 第 一 章 的 Quota (1.2.2-3) 相关 数据 
处 理 完 : 


。 /etc/fstab 加 入 /home 挂 载 点 的 usrquota,grpquota 等 设 定 值 ; 
。 重新 挂 载 /home ， 让 Quota 实际 被 支持 ; 

。 以 quotacheck -avug 建立 Quota 的 数据 库 档案 ; 

。 户 动 Quota ; 


假若 你 已 经 于 第 一 章 就 处 理 完毕 了 ， 那 么 这 一 题 就 非常 简单 喔 ! 透 过 edquota -u smb1 来 处 
理 即 可 | 


[root@www ~]# edquota -u smb1 

Disk quotas for user Smb1 (uid 2004): 
Filesystem blocks soft hard inodes soft hard 
/dev/mapper/server-myhome 0 300000 400000 0 0 0 


[root@www ~]# edquota -p smbi smb2 

[root@www ~]# edquota -p smb1 smb3 

[root@www ~]# repquota -ua 

*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 


Block limits File limits 
User used soft hard grace used soft hard grace 
smb1 > 32 300000 400000 9 0 0 
Smb2 二 32 300000 400000 8 0 0 
smb3 > 32 300000 400000 8 0 0 


16.2.7 主机 安装 时 的 规划 与 中 文 忆 区 挂 载 


现在 你 知道 Samba 服务 器 的 功能 是 用 来 作为 文件 服务 器 的 ， 每 个 使 用 者 都 可 以 拥有 家 目录 ， 
We 的 功能 来 链接 到 Samba 服务 器 中 。 这 就 有 个 问题 啦 ， 那 就 是 你 的 使 用 者 如 果 太 

， 并 且 将 他 们 的 重要 数据 都 放 到 这 部 Samba 服务 器 上 头 的 话 ， 那 肯定 /home 未 来 会 有 点 
二 ! 所 以 /home 所 在 的 磁盘 或 许可 以 使 用 大 一 点 的 硬盘 ， 或 者 使 用 磁盘 阵列 ， 使 用 LVM 
(基础 学 习 篇 第 三 版 十 五 章 ) 也 是 个 不 错 的 方案 。 底下 为 简单 的 思考 方向 : 


。 在 安装 Linux 的 时 候 ， 建 议 不 需要 安装 X Window ; 

。 在 规划 Linux 时 ，/home 最 好 独立 出 一 个 partition ， 而 且 硬盘 空间 最 好 能 够 大 一 些 ; 

。 /home 独立 出 来 的 partition 可 以 单独 进行 quota 的 作业 ， 以 规范 用 户 的 最 大 硬盘 用 量 ; 

e。 无 网 卡 的 打印 机 (USB) 可 直接 链接 到 Linux 主机 再 透 过 Samba 分 享 ; 

。 由 于 SAMBA 一 般 来 说 都 仅 针对 内 部 (LAN) 主机 进行 开放 ， 所 以 ， 可 能 的 话 SAMBA 主 
机 直接 使 用 private IP 来 设 定 即 可 ， 当 然 啦 ，SAMBA 是 否 使 用 private IP 还 得 视 你 的 整 
个 网 域 的 IP 网 段 的 特性 来 规划 。 以 鸟 哥 研究 室 来 说 ， 因 为 实验 室 所 有 计算 机 的 IP 都 是 
Public IP， 那 么 SAMBA 如 果 使 用 Private IP 反而 会 让 大 家 都 无 法 连接 上 啊 | ^ 人 和 ^ 

e 如 果 你 的 SAMBA 主机 使 用 Public IP 时 ， 请 特别 留意 规范 好 防火 墙 的 设 定 ， 二 二 机 肛 
LAN 内 的 计算 机 可 以 联机 进来 即 可 ， 不 要 对 Internet 开放 喔 ! 


另外 ， 如 果 你 的 Samba 服务 器 需要 挂 载 含 有 中 文 的 partition 时 ， 人 譬如 说 你 将 原本 Windows 
XP 的 FAT32 文件 系统 挪 到 Linux 系统 下 ， 此 时 如 果 用 一 般 模 式 来 挂 载 该 分 割 档 时 ， 一 些 中 
文档 名 可 能 会 无 法 被 顺利 的 显示 出 来 。 这 个 时 候 你 就 得 需要 这 样 做 了 : 


mount -t vfat -0 iocharset=big5,codepage=950 /dev/sd[a-p][1-15] /mount/point 
其 中 iocharset 指 的 是 本 机 的 语系 编码 方式 ，codepage 则 与 远程 软件 有 关 。 因 为 我 们 是 在 本 


机 进行 挂 载 ， 所 以 实际 上 使 用 iocharset 这 个 参数 即 可 啦 ! 更 多 说 明 则 请 看 下 节 的 客户 端 设 定 


部 分 中 ! 


16.3 Samba 客户 端 软件 功能 


现在 你 已 经 架设 好 了 Samba 服务 器 啦 ! 有 服务 器 当然 要 有 客户 端 re 嘛 |! 
TR 文 个 服务 器 干 嘛 ? 而 我 们 假设 局 域 网 络 内 有 Windows/Linux 系统 ， 这 两 种 系统 都 是 透 
过 NetBIOS over TCP/IP 来 连 上 Samba 服务 器 的 ， 在 设 定之 前 你 必须 要 知道 的 有 几 件 事 : 


e 在 区 网 内 的 主机 最 好 具有 相同 的 工作 组 ， 且 具有 不 同 的 主机 名 ; 

。 Windows XP pro. 最 多 仅 能 允许 十 个 用 户 同时 连接 到 自己 的 网 芳 ; 

e 你 可 以 在 网 芳 当 中 看 到 的 通常 是 相同 群 组 的 主机 ; 

e 可 以 使 用 『 搜 寻 J」-->『 计 算 机 J-->『 输 入 IPJ 来 查 到 Samba 主机 ; 

。 Windows 的 网 芳 预 设 仅 有 同一 IP 网 段 的 主机 才能 登入 (Windows 防火 墙 设 定 ) ! 


接 下 来 咱们 就 分 别 依照 Windows 及 Linux 系统 来 做 说 明 吧 ! 


16.3.1 Windows 系统 的 使 用 
在 Windows 上 面 的 搜寻 网 络 上 的 网 芳 主 机 实在 挺 简单 的 ， 你 有 好 几 种 方法 可 以 处 理 : 


e。 打开 『 档 案 总 管 」 ，『 网 络 上 的 芳 令 1】、『 整 个 网 络 〗、『Microsoft Windows 
NetworkJ 就 能 看 到 属于 你 群 组 的 所 有 计算 机 主机 了 |! 

e。 『 开 始 〗 、『 搜 寻 」、『 档 案 或 文件 夹 〗、『 计 算 机 或 人 人员、『 了 网 络 上 的 计算 机 J4， 
然后 在 出 现 的 方 框 当中 卉 写 正确 的 IP ， 按 下 『 搜 寻 4」 即 可 1 这 个 方法 可 以 适用 于 不 在 同 
一 个 群 组 当中 的 网 络 主机 喔 ! 

e@ 如 果 是 Windows 7 的 话 ， 只 要 点 选 文件 夹 即 可 。 


举例 来 说 ， 如 果 想 要 连接 到 我 们 的 Samba 主机 的 话 ， 而 又 不 知 到 这 部 Samba 主机 的 
NetBIOS name ， 那 利用 搜寻 的 结果 会 有 点 类 似 如 下 的 图 示 : 





合 管理 v 泡 路 和 共用 中 心 新 增 印 表 机 。 新 增 乱 综 装 嘻 
4 至 跨 (3) 





VBIRDSERVER 


A 
大 ES 
A 


WINXP 





16.3-1、Windows 7 客户 端 搜寻 示意 图 


上 图 堪 侧 先 点 选 『 网 络 」 ， 然 后 到 右上 方 的 框框 中 ， 输 入 NetBIOS name， 若 不 知道 的 话 ， 
就 留 白 让 Windows 7 自己 找 。 如 上 图 所 示 ， 就 有 找到 三 部 网 络 主机 啊 | 我 们 来 点 选 一 下 
VBIRDSERVER 吧 ! 因为 要 登入 人 家 服务 器 ， 所 以 就 被 要 求 要 输入 密码 。 如 下 图 所 示 ， 请 
填写 好 你 所 拥有 的 账号 与 密码 吧 | 





翰 入 网 路 密码 
舌 坦 入 你 的 安 三 末 这 综 到 : VBIRDSERVER 





图 16.3-2、Windows 7 客户 端 
登入 SAMBA 服务 器 示意 图 


若 顺 利 登 入 系统 了 ， 那 么 就 能 够 看 到 如 下 的 图 示 ， 就 是 取得 该 服务 器 的 可 用 资源 啦 ! 因为 我 
们 并 没有 针对 Windows 7 提供 打印 机 的 驱动 程序 ， 那 部 份 先 略 过 。 我 们 现在 来 将 project 挂 
载 成 本 机 磁盘 试看 看 : 
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旗 合 营 理 Y 浇 路 和 云 团 二 必 档 看 副业 纯 去 楼 导 : 
国 文件 从 
oh 育 尝 ~ HP LaserJet P2015 Series 
国 翅 冰 = 
国明:= roject “一 | 
本 共用 翌 散 (0O) 
天 | 天 腾 = 在 新 吝 宫 关 获 (E) 
oe bl 
三 由 a 永 党 可 以 到 党 浏 营 (A) 
年 外 TS 泽 系 兰 二 MV) 
WS 浑 洗 泥 路 盒 M) NN 
= 得 乱 (C) 
project (WVBIRDSERVER) 其 综 可 用 性 : 
| 共有 甲 莫 综 状 年 : 过 了 立 捷 径 (9) 
CT 图 16.3-3、 


Windows 7 客户 端 登 入 SAMBA 服务 器 示意 图 


如 上 图 所 示 ， 在 project 上 面 右键 单 击 ， 选 择 『 联 机 网 络 驱动 器 机 J， 就 会 出 现 如 下 的 画面 让 
你 去 选择 挂 载 磁盘 驱动 器 的 参数 喔 : 


(人 名 和 运 近 所 路 自理 机 


您 想 夺 麻 什么 网 路 资料 来 














登 嫩 机 (D): 区 -| 
资料 奕 (O): |\VBIRDSERVER\project 到 霉 
等 全 :servemshare 
图 16.3-4、 
Windows 7 客户 端 挂 载 网 络 驱动 器 机 的 示意 图 
你 可 以 自己 调整 想 要 的 驱动 器 号 ， 例 如 预 设 的 乙 楷 ， 那 么 以 后 你 的 档案 总 管 中 就 会 生出 一 个 


乙 楷 ， 该 磁盘 槽 就 代表 \192.168.100.254\project 那个 分 享 。 目录 史 ! 
。 让 Windows 系统 的 网 芳 支持 不 同 网 域 的 IP 联机 


由 于 网 芳 的 资 安 问题 越 来 越 严 重 ， 因 此 Windows XP 之 后 的 版 本 都 预 设 仅 开 放 本 机 IP 网 域 的 
网 芳 联机 而 已 。 如 果 你 的 Windows 想 要 让 别人 可 以 在 Internet 或 不 同 的 IP 网 段 对 你 联机 

时 ， 你 就 得 修改 一 下 防火 墙 的 设 定 啊 ! 请 叫 出 控制 台 ， 然 后 点 选 『Windows 防火 墙 」 就 会 出 
现 如 下 的 图 示 了 : 
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Windows Windows 防火 六 训 助 论 防止 歌 客 反 碍 意 款 体 迁 过 深 芭 深 路 或 深 路 记 取 您 的 重 联 : 
ER 防火 痢 如 何 启动 保 访 或 的 重 脱 ? 
图 妆 雪 二 知 识 让 什 麻 是 氛 路 位 置 ? 
嘟 关 敬 或 冰冰 Windows 防火 粮 
站 图 留 这 下 或 工作 晶 所 私人 ) 纲 路 (O) 
器 i 家 用 或 工作 场所 的 泡 路 (您 知 送 益 信任 该 总 路 上 的 人 员 生 装填) 
辟 苏 排 : 晤 革 
Windows 防火 往 状 等 : 二 
过 人 和 连 尹 : 寺 锁 到 於 不 在 允许 的 程式 洲 量 宁 之 
浑 治 
使 用 宁 的 家 用 或 工作 场所 (私人 ) 沪 路 : 配 。 拒 蜂 
演 惊 蒜 竺 : 重 Windows 防火 往 和 车 持 新 的 程 款 
哆 公用 网 路 (P) 
图 16.3-5、Windows 7 服务 器 防火 墙 示意 图 
因为 我 们 得 要 细部 设 定 防 火 墙 ， 因 此 点 选 上 图 中 左 侧 的 『 进 阶 设 定 」 来 取得 如 下 图 示 吧 1 
让 
得 宗 (中 。 孝 行 (和 检 褒 (就 明 (H) 
时 | 十 国 [ 切 1 昌国 ai iii 
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ee 榜 云 写 (NB-SessioWiIn) 党 守 友 纪 表 机 去 用 庄 打 秆 时 小 
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通讯 协定 及 连接 起 
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图 16.3-6、Windows 7 服务 器 防火 墙 示意 图 
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岛 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


还 记得 网 络 是 双向 的 吧 ? 所以， 我 们 得 先 要 针对 输入 (从 外 部 连 到 本 机 ) 的 规则 来 处 置 。 如 上 
图 所 示 ， 按 下 (1) 输 入 规则 ， 然 后 点 选 (2) 档 案 及 打印 机 共享 ， 之 后 到 (3) 选 择 详细 的 规则 内 
容 ， 会 出 现 另 外 一 个 窗口 ， 在 (4) 点 选 『 领 域 」 的 部 分 来 设 定 不 同 网 段 ， 最 终 在 (5) 的 地 方 
『 新 增 」 可 进入 本 机 的 远程 IP 网 段 喔 ! 按 下 新 增 会 出 现 如 下 图 示 喔 : 


指定 要 比 圣 的 了 P 位 址 : 


回 此 了 位 址 或 子 网 路 他 ) 
192.168.100.024 
蓝 便 : 192.168.0.12 

192.168.1.0 
2002.9d3b:1 
2002.9d3b:1a31: 

各 这 个 卫 位 址 莫 图 慷 ): 

入 中: 
到 (| 1 | 

侣 预先 定义 的 生 脑 集 公 ): 
| 预 设 有 和 "| 







208:74ff.fe39:.6cd43 
08:74ff:fe39:0/112 





192.168.1.024 三 红 吉 而] 图 16.3-7、Windows 7 服务 器 防火 墙 
示意 图 


如 上 图 所 示 ， 在 (1) 卉 写 正确 的 IP 或 网 段 ， 然 后 按 下 (2) 确 定 后 ， 就 能 够 在 (3) 的 框框 当中 出 
现 可 联机 的 远程 服务 器 嘿 ! 

e。 透 过 port 445 的 特殊 登入 方式 
如 果 你 知道 Samba 服务 器 有 启用 port 445 ， 并 且 他 已 经 分 享 了 某 个 目录 时 ， 举 例 I ， 我 


们 的 192.168.100.254 有 分 享 出 project 这 个 分 享 资 源 名 称 时 ， 那 么 这 个 目录 的 完整 写法 为 : 
『 \192.168.100.254\project 4 ， 我 们 可 以 透 过 『 开 始 」 出现 的 那个 方 框 来 处 理 这 呈 儿 1 





图 16.3-8、Windows 7 透 过 port 


445 联机 


如 果 可 以 登入 的 话 就 会 顺利 登入 ， 否 则 就 会 弹出 一 个 要 你 输入 账号 密码 的 窗口 ， 输 入 正确 的 
数据 即 可 1 呼 呼 ! 中 过 丫 一 除 此 之 外 ， 我 们 还 可 以 登入 别人 Windows 主机 的 C 或 DD 槽 喔 1 
写法 则 变 成 这 样 
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e。 \192.168.100.20\c$ 


所 以 说 ， 怕 了 吧 | 俺 还 监 害怕 一 所 以 啊 ，Samba 没 必要 时 ， 那 个 port 445 应 该 是 可 以 关闭 的 
吧 | 


16.3.2 Linux 系统 的 使 用 


。 smbclient : 查询 网 芳 分 享 的 资源 ， 以 及 使 用 类 似 FTP 的 方式 上 传 /下载 网 芳 


咱们 的 Samba 有 提供 Linux 网 芳 的 客户 端 功 能 喔 ! 也 就 是 说 Linux 可 以 挂 载 Samba 服务 器 
也 能 挂 载 Windows 提供 的 网 芳 啦 ! 主要 是 透 过 smbclient 来 观察 ， 再 以 mount 来 挂 载 文 件 系 
统 哩 。 先 来 介绍 一 下 smbclient 这 个 指令 吧 : 


# 1\， 关 于 查询 的 功能 ， 例 如 查 出 192.168.100.254 的 网 芳 数 据 
[root@clientlinux ~]# smbclient -L //[IP&#124;hostname] [-U username] 
[root@clientlinux ~]# smbclient -L //192.168.100.254 -U smb1 

Enter Smb1's password: 

Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 


Sharename Type Comment 

project Disk smbuser's project 

print$ Disk Printer drivers 

IPC$ IPC IPC Service (This is vbird's samba server) 

HP_LaserJet_P2015_Series Printer HP LaserJet P2015 Series 

smb1 Disk Home Directories &1t;== 等 一 下 用 这 个 当 范 例 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16 0.2] 

Server Comment 

VBIRDSERVER This is vbird's samba server 

Workgroup Master 

VBIRDHOUSE VBIRDSERVER 


# 从 这 里 可 以 知道 在 目前 网 域 当中 有 多 少 个 工作 组 与 主要 的 名 称 解析 主机 


除了 这 个 先前 用 过 的 查询 功能 之 外 ， 我 们 可 以 这 样 简 多 使 用 网 芳 的 : 


# 2\， 利 用 类 似 FTP 的 方式 登入 远程 主机 
[root@clientlinux ~]# smbclient '//[IP&#124;hostname]/ 资 源 名 称 ' [-U username] 
# 意思 是 使 用 某 个 账号 来 直接 登入 某 部 主机 的 某 个 分 享 资源 ， 举 例如 下 : 
[root@clientlinux ~]# smbclient '//192.168.100.254/smb1' -U smb1 
Enter Smb1's password: 
Domain=[VBIRDHOUSE] 0S=[Unix] Server=[Samba 3.5.4-68.el16_ 0.2] 
smb: \&gt; dir 
# 在 smb: \&gt; 底下 其 实 就 是 在 //192.168.100.254/dmtsai 这 个 目录 底下 啦 ! 所 以 ， 
§ 我 们 可 以 使 用 dir，get，put 等 常用 的 ftp 指令 来 进行 数据 传输 了 |! 
: 列 出 所 有 可 以 用 的 指令 ， 常 用 ! 
: 变换 到 远程 主机 的 目录 
del : 杀 掉 某 个 档 
lcd :变换 本 机 端的 目录 
ls :察看 目前 所 在 目录 的 档案 
dir :与 1s 相同 
get :下 载 单一 档案 
mget :下载 大 量 档案 
mput :上传 大 量 档案 
put :上 传单 一 档案 
rm :删除 档案 
exit: 离 开 smbclient 的 软件 功能 
# 其 他 的 指令 用 法 请 参考 man smbclient 咀 ! 


。 mount.cifs : 直接 挂 栽 网 芳 成 为 网 络 驱动 器 机 


事实 上 ， 使 用 smbclient 一 点 也 不 方便 ， 因 为 使 用 的 是 ftp 的 功能 语法 ， 有 点 怪 怪 的 一 能 不 能 
像 Windows 那样 ， 可 以 直接 联机 网 络 驱 动 器 机 啊 ? 这 当然 没有 问题 ! 不 过 就 需要 藉 由 
mount.cifs 来 协助 了 ! 


早期 的 Samba 主要 是 提供 smbmount 或 mount. 这 个 指令 来 挂 载 (smbfs 是 SMB 
filesystem 的 缩写 )， 不 过 这 个 指令 已 经 被 可 以 进行 比较 好 的 编码 判断 的 mount.cifs 所 取代 
啦 1 mount.cifs 可 以 将 远程 服务 器 分 享 出 来 的 目录 整个 给 他 挂 载 到 本 机 的 挂 载 点 ， 如 此 一 来 ， 
远程 服务 器 的 目录 就 好 像 在 我 们 本 机 的 一 个 分 割 槽 一 样 喔 ! 可 以 直接 执行 复制 、 编 辑 等 动 
作 ! 这 可 就 好 用 的 多 了 上 底下 我 们 来 谈 一 谈 怎 么 用 这 个 mount.cifs 吧 | 


[root@clientlinux ~]# mount -t cifs //IP/ 分 享 资源 / 挂 载 点 [-o options] 
选项 与 参数 : 
-0 后 面 接 的 参数 (options) 常用 的 有 底下 这 些 : 
username= 你 的 登入 账号 : 例如 username=smb1 
password= 你 的 登入 密码 : 需要 与 上 面 Username 相对 应 啊 ! 
iocharset= 本 机 的 语系 编码 方式 ， 如 big5 或 utf8 等 等 ; 
codepage= 远 程 主机 的 语系 编码 方式 ， 例 如 繁体 中 文 为 Cp950 


# 范例 一 : 以 smb1 的 身份 将 其 家 目录 挂 载 至 /mnt/samba 中 
[root@clientlinux ~]# mkdir /mnt/samba 
[root@clientlinux ~]# mount -t cifs //192.168.100.254/smb1i /mnt/samba 和 
&gt; -0 username=smb1,password=4321,codepage=cp950 
[root@clientlinux ~]# df 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 
//192.168.100.254/smb1i/ 
7104632 143368 6606784 3% /mnt/samba 


经 由 mount 的 动作 ， 我 们 就 可 以 轻易 的 将 远程 分 享 出 来 的 吹 吹 给 他 挂 载 到 自己 Linux 本 机 上 
面 ! 好 用 的 很 一 更 详细 的 mount 用 法 ， 请 man mount ! 


。 nmblookup : 查询 NetBIOS name 与 IP 及 其 他 相关 信息 : 


现在 我 们 可 以 透 过 一 些 NetBIOS 相关 的 功能 来 取得 NetBIOS name ， 不 过 ， 如 果 你 还 想 要 知 
道 这 个 NetBIOS name 的 其 他 信息 时 ， 例 如 IP、 分 享 的 资源 等 等 ， 那 可 以 使 用 nmblookup 
外 


这 个 指令 来 搞定 即 可 。 他 是 这 么 使 用 的 : 


[root@clientlinux ~]# nmblookup [-S] [-U wins IP] [-A IP] name 
选项 与 参数 : 

-S :除了 查询 name 的 IP 之 外 ， 亦 会 找 出 该 主机 的 分 享 资 源 与 MAC 等 ; 

-U :后 面 一 般 可 接 Windows 的 主要 名 称 管理 服务 器 的 IP ， 可 与 -R 互 用 ; 

-R :与 -U 互 用 ,以 Wins 服务 器 来 查询 某 个 Netbios name; 

-A : 相对 于 其 他 的 参数 ， -A 后 面 可 接 IP ， 藉 IP 来 找 出 相对 的 NetBIOS 数据 ; 


# 范例 一 : 藉 由 192.168.100.254 找 出 vbirdserver 这 部 主机 的 IP 地 址 
[root@clientlinux ~]# nmblookup -U 192.168.100.254 vbirdserver 

querying vbirdserver on 192.168.100.254 

192.168.100.254 vbirdserver&]lt;008&gt; 

192.168.1.100 vbirdserver&lt;008&gt; &1t ;== 之 前 鸟 哥 就 说 有 两 个 IP 嘛 |! 俺 的 主机 | 


# 范例 二 : 找 出 Vbirdserver 的 MAC 与 IP 等 信息 : 
[root@clientlinux ~]# nmblookup -S vbirdserver 
querying vbirdserver on 192.168.100.255  &1lLt;== 在 区 网 内 广播 开始 找 ! 
192.168.100.254 vbirdserver&lt;00&gt &lt;== 找 到 IP 史 ! 
Looking up status of 192.168.100.254 

VBIRDSERVER &lt;O008&gt; - B &lLt;ACTIVE&gt 

__ MSBROWSE , &lt;01i&gt; - &lt;GROUP&gt; B &lLt;ACTIVE&gt ; 
VBIRDHOUSE &lt;008&gt; - &lt;GROUP&gt; B &lLt;ACTIVE&gt ; 


e smbtree : 网 络 上 的 芳 邻 浏览 器 显示 模式 ! 


如 果 你 想 要 使 用 类 似 Windows 上 面 ， 可 以 一 看 就 明了 各 个 网 芳 所 分 享 的 资源 时 ， 你 能 使 用 
smbtree 来 直接 查询 喔 ! 这 个 指令 更 简单 ! 直接 输入 就 能 用 : 


[root@clientlinux ~]# smbtree [-bDS] 

选项 与 参数 : 

-b :以 广播 的 方式 取代 主要 浏览 器 的 查询 

-D : 仅 列 出 工作 组 ， 不 包括 分 9 享 的 资源 

-S : 列 出 工作 组 与 该 工作 组 下 的 计算 机 名 称 (NetBIOS) 不 包括 各 项 资源 目录 


# 范例 一 : 列 出 目前 的 网 芳 树 状 相关 图 
[root@clientlinux ~]# Smbtree 
Enter root's password: &1t;== 直 接 按 [Enter] 即 可 ! 


WORKGROUP 
\\WIN7-PC 
VBIRDHOUSE 
\\'WINXP 
cli_start_connection: failed to connect to WINXP&]t;20&gt; (0.0.0.0). 
\\VBIRDSERVER This is vbird's samba server 
\\VBIRDSERVER\HP_LaserJet P2015_ Series HP LaserJet P2015 Series 
\\VBIRDSERVER\IPCS$ IPC Service (This is vbird's samba server) 


\\VBIRDSERVER\print$ Printer drivers 
\\VBIRDSERVER\project smbuser's project 


[root@clientlinux ~]# smbtree -S 
Enter root's password: 
WORKGROUP 
\\WIN7-PC 
VBIRDHOUSE 
\\'WINXP 
\\VBIRDSERVER This is vbird's samba server 
# 此 时 仅 有 工作 组 与 计算 机 名 称 而 已 呢 ! 


e smbstatus : 观察 SAMBA 的 状态 


其 实 这 个 指令 算是 服务 器 的 相关 功能 啦 ! 因为 它 主 要 的 目的 是 查阅 目前 SAMBA 有 多 少 人 来 
联机 ， 且 哪些 资源 共享 已 经 被 使 用 等 等 的 信息 。 所 以 如 果 你 想 要 使 用 这 个 软件 ， 请 先 安装 
samba 咀 ! 简单 用 法 如 下 : 


[root@www ~]# smbstatus [-pS] [-u username] 
选项 与 参数 : 

-Pp : 列 出 已 经 使 用 SAMBA 联机 的 程序 PID ; 

-S : 列 出 已 经 被 使 用 的 资源 共享 状态 ; 

-U :只 列 出 某 个 用 户 相关 的 分 享 数据 


# 范例 一 : 列 出 目前 主机 完整 的 Samba 状态 
[root@www ~]# smbstatus 
Samba version 3.5.4-68.e16 0.2 


PID Username Group Machine 

5993 smb1 smb1 ffff_192.168.100.10 (::ffff:192.168.100.10) 
5930 smb1 smb1 win7-pc (::ffff:192.168.100.30) 

# 上 半 部 主要 在 列 出 目前 联机 的 状态 中 ， 主 要 来 自 那个 客户 端 机 器 与 登入 的 用 户 名 

Service pid machine Connected at 

IPC$ 5930 win7-pc Fri Jul 29 15:56:03 2011 

project 5930 win7-pc Fri Jul 29 15:59:25 2011 

smb1 5993 __ ffff_192.168.100.10 Fri Jul 29 16:32:45 2011 


# 这 部 分 则 显示 出 ， 目 前 有 几 个 目录 被 使 用 了 ?那个 smb1 代表 //IP/smb1i/ 喔 ! 


你 可 以 透 过 这 个 小 程序 来 了 解 到 目前 有 多 少 人 使 用 你 的 SAMBA 的 啦 ! 


16.4 以 PDC 服务 器 提供 账号 管理 


我 们 在 16.1.5 约略 谈 过 PDC 这 个 玩意 儿 ， 他 可 以 让 用 户 在 计算 机 教室 的 任何 一 个 地 方 ， 都 
用 同一 组 账号 密码 登入 ， 并 可 取得 相同 的 家 目录 等 数据 ， 这 与 我 们 之 前 谈 到 的 ， 在 Linux 底 
下 使 用 NIS 搭配 NFS 是 很 类 似 的 作法 ! 只 是 它 是 用 在 Windows 上 头 就 是 了 。 那 如 何 完成 
呢 ?我们 底下 就 来 谈 谈 这 个 玩意 儿 1 和 ^ ^ 


16.4.1 让 Samba 管理 网 域 使 用 者 的 一 个 实 作 案例 


前 面 介 绍 的 内 容 都 是 属于 Peer/Peer 的 联机 状况 ， 也 就 是 Samba 服务 器 与 Windows 客户 端 
其 实 是 平等 地 位 的 啦 ! 所 以 Windows 客户 端 需要 知道 Samba 服务 器 内 的 账号 密码 数据 后 ， 
才能 够 顺利 的 使 用 Samba 的 资源 。 不 过 ， 这 样 的 方式 在 较 大 型 一 些 的 局 域 网 络 环境 可 能 就 
会 有 点 困扰 ， 例 如 学 校 的 环境 。 


举例 来 说 ， 如 果 你 有 一 个 计算 机 教室 里 面 有 50 部 Windows XP Pro. 的 个 人 计算 机 ， 由 于 计 
算 机 教室 大 家 都 会 使 用 ， 因 此 里 面 这 50 部 个 人 计算 机 有 使 用 还 原 精 灵 ， 也 就 是 每 次 计算 机 
oe So I A 
吧 ? 他 们 总 不 希望 这 次 的 工作 在 重新 启动 后 就 失去 了 ~ 所 以 我 们 可 以 利用 一 部 主机 来 让 他 们 
储存 数据 啊 ! 那 就 是 Primary Domain Controller (PDC) 服务 器 。 


其 实 Samba PDC 的 作用 很 简单 ， 就 是 让 Samba PDC 成 为 整个 局 域 网 络 的 领域 管理 员 

(domain controller) ， 然 后 让 Windows 主机 加 入 这 个 领域 ， 未 来 使 用 者 利用 Windows 登入 

时 ，(1)Windows 会 前 往 PDC 服务 器 取得 用 户 的 账号 密码 ， 同时 (2)PDC 还 会 传送 用 户 的 重 

要 数据 到 那 部 Windows 个 人 计算 机 上 ， 而 Windows 计算 机 上 的 用 户 注 销 时 ，(3) 该 用 户 修改 

过 的 数据 也 会 回 传 给 PDC 。 如 此 一 来 不 管 这 个 使 用 者 在 哪 一 部 个 人 计算 机 上 面 登入 ， 他 都 
能 够 取得 正确 的 个 人 资料 ! 很 棒 的 作用 吧 ! 


PDC 是 个 很 复杂 的 环境 ， 他 可 以 达到 的 功能 相当 的 多 ， 而 且 密 码 的 验证 也 不 必 在 同一 部 PDC 
主机 上 面 ， 不 过 这 里 我 们 不 谈 那 么 复杂 的 东西 ， 只 是 做 一 个 简单 的 练习 ， 因 此 底下 的 这 部 
PDC 使 用 Linux 自己 的 密码 来 进行 验证 ， 并 且 也 只 管理 自己 所 分 享 出 去 的 资源 哩 ! 至 于 假设 
网 络 环境 与 相关 工作 组 参数 如 下 : 







PDC 的 主要 内 容 : 

1.domain: vbirdhouse 

2. servername: vbirdseryer 

3, 信 侍 主机 : vbirdwinxpS vbirdwin7$… 
4. 信任 使 用 者 : root dmtsai nikky … 

5. 至 少 所 需要 分 享 资 源 

netlogon, profile, 用 户 家 目录 


Domain: vbirdhose 


User: 本 机 与 domain 


vbirdwin7 vbirdwinxp 图 16.4-1、 一 个 简易 的 
PDC 实 作 案例 相关 参数 示意 图 


整个 基本 的 设 定 流程 应 该 是 这 样 的 : 


。 区 网 计算 机 环境 设 定 : 整体 网 域 设 定 好 ， 尤 其 Windows 的 工作 组 与 计算 机 名 称 及 IP 等 
参数 ; 

。 PDC 设 定 : 因为 PDC 管理 自己 的 密码 ， 所 以 security = user ; 

。 PDC 最 好 拥有 整个 网 域 的 名 称 解析 权力 ， 亦 即 成 为 主要 的 名 称 解析 器 ; 

。 需 有 netlogon 资源 共享 ， 提 供 windows 2000/XP pro. 客户 端的 登入 之 用 ; 

e。 由 于 Windows 需 读 入 个 人 配置 文件 ， 上 默认 目录 为 profile ，Linux 系统 需 预 先 设 定 此 目 
录 ; 

。 增加 PDC 上 的 使 用 者 账号 以 及 机 器 代码 (machine account) 等 等 

。 在 Windows 2000/XP pro. 个 人 计算 机 上 设 定 成 为 PDC 的 客户 端 。 


底下 咱们 就 来 依 序 处 理 处 理 先 ! 


16.4.2 PDC 服务 器 的 建 置 


PDC 服务 器 的 建立 非常 的 麻烦 ， 需 要 一 步 一 步 的 实 作 进行 ， 担 讨厌 的 。 而 且 ， 由 于 建 置 PDC 
的 环境 主要 在 管理 整个 区 网 内 的 Windows 计算 机 ， 因 此 每 部 Windows 计算 机 的 主机 名 与 相 
关 参 数 要 先 确定 下 来 ， 如 同上 一 小 节 的 图 示 内 ， 每 部 计算 机 的 角色 定位 都 需要 清楚 才 行 。 清 
楚 了 各 个 计算 机 的 角色 后 ， 接 下 来 就 能 够 慢 慢 的 实 作 进行 嘿 ! 


。 1. 建 置 NetBIOS 与 IP 对 应 的 数据 : 设 定 Imhosts 与 /etc/hosts 


由 于 我 们 的 Samba 即将 成 为 整个 网 域 的 名 称 解析 者 ， 因 此 你 最 好 将 整个 网 域 的 NetBIOS 
name 与 IP 的 对 应 写 入 Imhosts 档案 当中 。 如 果 你 的 区 网 是 以 DHCP 发 放 IP 的 ， 那 么 你 最 
好 搭配 DNS 系统 去 建 置 你 的 主机 名 对 应 信息 ， 否 则 主机 名 对 应 不 起 来 ， 总 是 有 点 困扰 。 在 
这 个 案例 中 ， 由 于 乌 哥 使 用 的 NetBIOS name (如 vbirdserver) 与 主机 名 (如 
www.centos.vbird) 并 不 相同 ， 因 此 这 里 建议 需要 修改 Imhosts 才 好 。 


[root@www ~]# vim /etc/samba/lmhosts 

127.0.0.1 localhost &1t ;== 这 行 是 预 设 存 在 的 ， 不 要 动 他 ， 底 下 的 请 自行 新 增 
192.168.100.254 vbirdserver 

192.168 .100.10 vbirdlinux 

192.168.100.20 vbirdwinxp 

192.168.100.30 vbirdwin7 


[root@www ~]# vim /etc/hosts 
192.168.100.254 www.centos.vbird vbirdserver 
192.168.100.10 clientlinux.centos.vbird vbirdlinux 


192.168.100.20 vbirdwinxp 
192.168.100.30 vbirdwin7 


由 于 Linux 上 的 Samba 很 多 数据 还 是 与 TCP/IP 的 主机 名 有 关 ， 所 以 除了 Imhosts 之 外 ， 建 
议 还 是 处 理 一 下 /etc/hosts 比较 妥当 ! 这 样 就 行 啦 ! 
e。 2. 建 置 PDC 主 设 定 : 处 理 smb.conf 


假设 我 们 要 让 PDC 客户 端 登 入 时 可 以 取得 他 自己 的 家 目录 ， 那 么 需要 这 样 处 理 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globall] 
workgroup = vbirdhouse ”&1lt;== 请 务必 确认 一 下 工作 组 与 主机 名 
netbios name = vbirdserver 
server string = This is vbird's samba server 
unix charset = utf8 
display charset = utf8 
dos charset = cp950 
log file = /var/l0g/samba/1l1o0g.%m 
max 10g size = 50 
security = User 
passdb backend = tdbsam 
load printers = yes 
cups options = raw 
printcap name = cups 
printing = cups 


# 与 PDC 有 关 的 一 些 设 定 值 : 
# 底下 几 个 设 定 值 处 理 成 为 本 局 域 网 络 内 的 主要 名 称 解析 器 


preferred master = yes 
domain master = yes 
local master = yes 
wins support = yes 


# 操作 系统 (0S) 等 级 越 高 才能 成 为 主 网 城 的 控制 才 ， 一般 NT 为 32， 
# Windows 2000 为 64 ， 所 以 这 里 我 们 设 定 高 一 点 ， 但 不 可 超过 255 


os level = 100 

# 底下 则 是 设 定 能 否 利用 PDC 登入 ， 且 登入 需要 进行 哪些 动作 : 

domain logons = yes 

logon drive = K: &1t ;== 登 入 后 家 目录 挂 载 成 Windows 哪 一 楼 
logon script = startup.bat &1t; 3 入 后 会 自动 执行 的 程序 
time server = yes &1t ;== 自 动 调 整 Windows 时 间 与 Samba 同步 
admin users = root &1t ;== 预 设 的 管理 员 账 号 ! 预 设 为 root 
logon path = \\%N\%U\profile &1t;== 使 用 者 的 个 人 化 设 定 

logon home = \\%N\%U &1t ;== 用 户 的 家 目录 位 置 ! 


# 这 个 在 指定 登入 者 能 够 进行 的 工作 ， 里 面 主 要 是 具有 许多 执行 程序 
[netlogon] &1lt; 的 logon script 有 关 ， 该 程序 放置 在 这 


comment = Network Logon Service 
path = /winhome/netlogon &]lt;== 重 要 的 目录 ， 要 自己 建立 才 行 | 
writable = no 
write list = root 
follow symlinks = yes 
guest ok = yes 
[homes] 


. (底下 保留 原本 设 定 ). 


[root@www ~]# testparm 
[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 


上 面 的 设 定 有 几 个 地 方 比较 有 趣 一 点 : 


。 time server : 要 使 Samba 与 Windows 主机 的 时 间 同 步 ， 使 用 这 个 项 目 ; 

。 logon script : 当 使 用 者 以 Windows 客户 端 登 入 后 ，Samba 可 以 提供 一 支 批 处 理 文件 ， 
让 使 用 者 去 设 定好 他 们 自己 的 目录 配置 。 整 个 配置 的 内 容 记录 在 startup.bat 当中 。 你 要 
注意 的 是 ， 这 个 startup.bat 档 名 可 以 随意 更 改 ， 不 过 他 必须 要 放置 到 [netlogon] 所 指定 
的 目录 内 ; 

。 logon drive : 那么 这 个 家 目录 要 挂 载 到 那个 分 割 模 ? 在 Windows 底下 大 多 以 C, D, E.… 
做 为 磁盘 的 代号 ， 你 这 里 可 以 指定 一 下 家 目录 要 放置 成 为 那个 磁盘 代号 ; 

。 admin users : 指定 这 个 Samba PDC 的 管理 员 身份 。 

。 [netlogon] : 指定 利用 网 络 登 录 时 首先 去 查询 的 目录 资源 。 


。 logon path : 用 户 登 入 后 ， 会 取得 的 环境 设 定 数据 在 哪 ? 我 们 知道 用 户 会 有 一 堆 环境 数 
据 ， 例 如 桌面 等 ， 这 些 东西 都 放置 到 这 里 来 。 使 用 的 变量 中 ，%N 代表 PDC 服务 器 的 位 
置 ，%U 则 代表 用 户 的 Linux 家 目录 。 因 此 最 终 你 得 要 有 ~someone/profile 的 目录 才 可 
以 。 

。 logon home : 用 户 的 家 目录 ， 默 认 与 Linux 的 家 目录 相同 位 置 。 


。 3. 建立 Windows 客户 端 登入 时 所 需 的 设 定数 据 netlogon 目录 


先 来 建立 [netlogon] 内 所 需要 的 数据 好 了 ， 那 就 是 一 个 目录 。 由 于 鸟 哥 预计 将 所 有 的 PDC 数 
据 通通 放置 到 /winhome 当中 ， 包 括 用 户 家 目录 ， 因 此 很 多 东西 都 需要 修订 喔 |! 包括 后 来 的 
SELinux 肯定 会 出 问题 的 ~ 


[root@www ~]# mkdir -p /winhome/netlogon 


接 下 来 我 们 还 得 要 建立 允许 使 用 者 执行 的 档案 ， 就 是 那个 startup.bat 才 行 ! 注意 一 下 ， 我 们 
这 里 假设 用 户 家 目录 为 K 楷 ， 那 你 可 以 这 样 做 : 


[root@www ~]# vim /winhome/netlogon/startup.bat 

net time \\vbirdserver /set /yes 

net use K: /home 

# 这 个 档案 的 格式 为 : net use [device:] [directory] 

# 再 将 该 档案 转 成 DOS 的 断 行 格式 才 行 ! 因为 是 提供 给 Windows 系统 嘛 ! 
[root@www ~]# yum install unix2dos 

[root@www ~]# unix2dos /winhome/netlogon/startup.bat 
[root@www ~]# cat -A /winhome/netlogon/startup.bat 

net time \\vbirdserver /set /yes^M$ 


net use K: /home^M$ 
# 瞧见 吗 ? 会 多 出 个 奇怪 的 AM 符号 ， 那 就 是 Windows 断 行 字符 。 


e 4. 建立 Windows 专用 的 使 用 者 


因为 乌 哥 预计 将 使 用 者 全 部 挪 到 /winhome 底下 ， 而 且 每 个 用 户 家 目录 应 该 还 要 有 profile 目 
录 存 在 才 行 ， 为 了 避免 麻烦 ， 所 以 我 们 先 到 /etc/skel 去 处 理 一 下 ， 然 后 才 建 立 账号 ， 最 后 才 
产生 samba 用 户 吧 ! 产生 samba 用 户 可 以 使 用 pdbedit 也 能 够 直接 使 用 smbpasswd -a ， 
因为 没有 要 用 特殊 的 参数 ， 所 以 ，Samba 用 户 就 用 昌 的 smbpasswd 来 处 理 即 可 。 


[root@www ~]# mkdir /etc/skel/profile 
[root@www ~]# useradd -d /winhome/dmtsai dmtsai 
[root@www ~]# useradd -d /winhome/nikky nikky 
[root@www ~]# smbpasswd -a root 
[root@www ~]# smbpasswd -a dmtsai 
[root@www ~]# smbpasswd -a nikky 
[root@www ~]# pdbedit -L 
smb1:2004: 
smb3:2006: 
smb2:2005: 
Student :505 : 
root:0:root 
dmtsai:2007: 
nikky: 2008: 
# 重点 是 需要 有 画 底 线 的 那 几 个 人 物 出 现 才 行 吻 ! 


[root@www ~]# 11 /winhome 


drwx------ . 5 dmtsai dmtsai 4096 Jul 29 16:49 dmtsai 
drwxr-xr-x. 2 root root 4096 JulL 29 16:48 netlogon 
drwx------ . 5 nikky nikky 4096 Jul 29 16:49 nikky 


# 用 户 的 家 目录 不 是 在 /home 而 是 在 /Winhome 里 头 才 是 对 的 只 ! 


那 以 后 新 增 的 使 用 者 都 有 可 以 存放 来 自 Windows 的 特殊 配置 文件 目录 喔 ! 比较 好 管理 哆 ~ 当 
然 啦 ， 使 用 useradd 新 增 使 用 者 后 ， 记 得 也 要 使 用 smbpasswd -a username 来 让 该 使 用 者 可 
以 使 用 Samba 喔 ! 


e@ 5. 建立 机 器 码 账 号 


由 于 PDC 会 针对 Windows 客户 端的 主机 名 (NetBIOS name) 进行 主机 账号 检查 ， 所 以 我 们 
也 要 为 客户 端的 主机 名 进行 账号 的 设 定 。 号 ! 啥 是 主机 账号 ? 一 般 用 户 账号 是 英文 或 数字 ， 
主机 账号 则 在 该 账号 最 后 面 加 上 一 个 钱 字号 『$J」 即 可 |! 举例 来 说 ，vbirdwinxp 这 部 主机 可 
设 定 的 账号 名 称 为 vbirdwinxp$ 。 


， smbpasswd 增加 的 使 用 者 必须 要 在 /etc/passwd 当中 ， 因 此 要 建立 这 个 账 
你 就 得 要 这 样 做 : 


[root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwinxp$ 
[root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwin7$ 


会 增加 -M -s -d 等 参数 的 原因 是 因为 不 想 要 让 这 ee 以 登入 的 权限 ， 因 此 将 这 个 
机 账号 设 定 的 比较 怪 一 点 信人 ^~ 接 下 来 让 Samba 知道 这 个 账号 是 主机 账号 ， 所 以 你 应 该 要 
这 样 做 : 


[root@www ~]# smbpasswd -a -m vbirdwinxp$ 
[root@www ~]# smbpasswd -a -m vbirdwin7$ 


这 样 便 加 入 主机 账号 嘿 1 而 我 们 的 Samba PDC 也 就 可 0 『 主 机 账号 」 来 判断 Windows 
客户 端 能 否 连 上 来 ， 若 连接 上 PDC 与 Windows 客户 端 后 ， 接 下 来 一 般 使 用 者 账号 就 可 以 在 
windows 客户 端 登 入 了 | 


。 6. 修改 安全 性 相关 数据 


由 于 我 们 建立 的 账号 目录 在 /winhome 底下 ， 并 非 正规 的 CentOS 目录 ， 所 以 最 重要 的 
SELinux 可 能 会 跑 掉 ~ 所 以 ， 我 们 还 得 要 修订 SELinux 才 行 ! 方法 很 简单 ， 将 SELinux type 
转 为 samba_share t 即 可 ! 


[root@www ~]# chcon -R -t samba_share_t /winhome 


由 于 SELinux 的 数据 是 会 继承 上 层 目 录 的 ， 因 此 未 来 新 增 的 用 户 ， 理 论 上 ， 就 不 需要 重新 修 
订 SELinux 的 文件 类 型 了 。 但 是 ， 如 果 你 老 是 发 现 登入 PDC 的 账号 却 无 法 取得 家 目录 ， 那 
么 就 观察 /Var/log/messages 内 的 资料 来 修订 吧 ! 


16.4.3 Wimdows XP pro. 的 客户 端 


请 注意 ， 底 下 的 方法 仅 适 用 于 Windows 2000, Windows XP 专业 版 (Pro.)， 一 般 的 Windows 
XP home 版 本 是 不 支持 的 ! 如 果 你 客户 端的 主机 是 随机 版 的 Windows XP ， 通 常 是 
Windows XP home ， 那 底下 的 方法 可 能 就 无 法 适用 嚼 ! 要 连接 上 Samba PDC 的 过 程 也 是 
挺 简单 的 ， 你 可 以 这 样 做 : (至 于 Windows 7 对 于 Samba 的 版 本 要 求 较 高 ， 官 方 网 站 是 说 得 
高 于 3.3.X 以 上 版 本 才 有 支持 ) 


e@ 1. 确认 Windows 客户 端的 网 域 与 主机 名 


首先 我 们 必须 要 确认 Windows 客户 端的 工作 组 与 主机 名 跟 咱 们 的 Samba PDC 相同 ， 确 认 
的 方式 在 局 域 网 络 里 面 已 经 提 过 了 ， 这 里 在 强调 一 次 。 将 鼠标 移动 到 『 了 我 的 计算 机 」 上面， 
按 下 右键 ， 选 择 『 内 容 ]， 然 后 点 选 『 计 算 机 名 称 〗， 会 出 现 如 下 图 示 : 


白 -可 2， vv 下 记 芝 。， 肥 久 邓 加 这 稚 筷 二 HE 
马 可 的 LinuX 和 私房 采 :服务 夸 汞 仆 属 第 三 版 


系统 内 容 四 因 
一 般 | 生 脑 名 罗 | 硬 体 ”| 进 阶 ， | 系统 滔 原 | 自动 更 新 | 束 端 | 
lL Windows 使 用 下 列 资 讯 在 桨 路 上 识别 您 的 重 胶 * 











电脑 描述 D): 











例如 : " 容 刻 的 电脑" 或 "大明 的 电脑 "。 


完整 生 脑 名 条 vbiiving. | <——,— 1 
工作 群 组 : YEBIRDHOUSE 





如 果 您 委 使 用 者 路 识别 精 到 来 加 入 桐 域 广 建立 本 楼 ”| 筒 路 诉 别 岂 ) 


使 用 者 帐 尸 ， 请 按 [ 秽 路 识别 ] * 一 一 NR 
i 过 部 电脑 或 将 它 加 入 | 请 按 
这 

















图 16.4-2、Windows 客户 端 连 上 
PDC 的 方式 流程 示 意图 


如 上 图 所 示 ， 你 要 先 确认 箭头 1 处 指 的 主机 名 与 工作 组 ， 在 我 们 这 个 案例 当中 的 工作 组 为 
vbirdhouse ， 这 部 Windows 主机 的 NetBIOS 名 称 则 为 vbirdwinxp 喔 ! 如 果 不 对 的 话 ， 请 按 

『 变 更 」 来 设 定 ， 并 且 重 新 启动 。 重 新 启动 完毕 后 再 到 上 图 的 画面 当中 ， 按 下 箭头 2 所 指 
网 络 识 别处 。 


e 2. 设 定 主机 名 与 域名 


接 下 来 我 们 要 设 定 这 部 Windows XP pro. 要 链接 到 局 域 网 络 上 的 哪 部 PDC 上 面 ， 亦 即 ge 
主机 账号 以 及 Samba PDC 负责 的 网 域 (domain) 啦 ! 在 图 16.4-2 按 下 『 网 络 识别 4 后 ， 
别 在 出 现 的 窗口 当中 选择 : 


下 一 步 

这 台 计 算 机 是 公司 网 络 的 一 部 份 ， 而 且 我 在 工作 时 用 来 联机 到 其 他 计算 机 (T) 
我 的 公司 使 用 一 或 多 个 网 域 的 网 络 (C) 

下 一 步 


下 DD 


然后 就 会 出 现 如 下 的 窗口 : 


ol 
| 
人 


16.4 以 PDC 服务 器 提供 账号 管理 


擂 路 或 别 精 去 


使 用 者 帐户 和 地域 次 录 
使 用 者 帐户 可 以 谴 您 存 取 笛 路 上 的 档案 和 资源 * 


坦 信 榴 的 六 indows 使 用 者 帐户 和 向 域 宜 讯 。 如 果 涉 知道 此 袜 讯 ， 请 治 询 您 的 补 
路 系 祝 管理 员 


使 用 者 名 铬 四 |wot  __ 填 和 smb.confByadmuser 
密码 四 ) Er 


机 域 D); EDiousa 。 填 入 Samba 工 作 组 | 





图 16.4-3、Windows 
客户 端 连 上 PDC 的 方式 流程 示 意图 


请 依 序 填写 Samba 主机 上 面 的 管理 员 有 与 密码 ， 要 注意 这 个 密码 是 记录 于 Samba 中 的 那 
个 ， 可 不 是 /etc/shadow 咀 ! 别 摘 混 了 一 这 是 Samba 服务 器 的 设 定 呢 。 输 入 之 后 按 下 一 步 
吧 ， 通 常 都 会 出 现 找 不 到 正确 主机 的 画面 ， 如 下 所 示 : 


揣 路 芒 别 靖 址 
贤 拉 域 
您 的 电脑 也 必须 属 藤 某 一 个 阐 域 > 


Wingows 在 YEIRDHOUSE 找 不 到 您 电 及 的 帐户 。 
请 输入 您 的 电脑 名 生 和 所 属 袜 域 (可 能 和 您 登入 的 绞 域 不 是 同一 个 ) * 


生 脑 名 得 皮 ): YBIRDWINXP 此 计算 机 的 NetBIOS name 
重 脑 攀 域 D): ERDHOUSE 等 待 加 入 的 samba 网 域 


取消 





图 16.4-4、Windows 
客户 端 连 上 PDC 的 方式 流程 示意 图 


鸟 哥 也 觉得 很 奇怪 ， 老 是 告诉 我 找 不 到 ! 不 过 没有 关系 ， 这 里 我 们 依旧 再 填 一 次 主机 的 
NetBIOS name 以 及 组 名 ， 如 上 图 所 示 ， 然 后 继续 按 下 一 步 ， 就 会 出 现 如 下 的 画面 啦 : 


锰 域 合用 者 名 苦 和 宽 枉 


| 误 考 入 可 以 加 入 幅 域 的 蛋 户 名 簿 及 密码 。 
使 用 者 名 称 D: oot 








密码 全 ): | 
网 域 D): (YBIRDHOUSE| 














图 16.4-5、Windows 客户 端 连 上 PDC 
的 方式 流程 示意 意图 


这 次 就 给 他 输入 正确 的 管理 员 账 号 与 密码 ， 记 得 最 后 面 的 网 域 就 是 工作 组 名 称 ， 别 写 错 了 。 
处 理 完毕 后 给 他 按 下 确定 吧 ! 然后 就 会 出 现 如 下 画面 : 


擂 路 或 别 精 去 


使 用 者 帐户 
您 可 以 新 增 使 用 者 到 此 电脑 。 


舌 使 用 者 加 到 过 台 和 电脑， 该 使 用 者 就 可 以 使 用 此 电脑 所 有 的 实 源 以 及 移 路 上 所 
有 共用 的 袜 温 。 


请 输入 您 的 袜 路 使 用 者 帐户 资讯 ， 或 者 二 入 阐 路 上 其 他 使 用 者 的 帐户 袜 讯 > 


避 新 增 下 列 使 用 者 他 ): 











下 加 


客户 端 连 上 PDC 的 方式 流程 示意 图 





图 16.4-6、Windows 


茶 喜 你 ， 这 就 表示 已 经 连接 上 Samba PDC 嘿 ! 我 们 希望 所 有 的 使 用 者 都 直接 由 Samba 
PDC 控 管 ， 所 以 这 里 请 填写 『 此 时 不 新 增 使 用 者 」 吧 ! 按 下 一 步 去 。 


。 3. 重新 启动 并 以 新 的 域名 登入 


在 图 16.4-6 之 后 请 重新 启动 ， 开 机 后 整个 画面 会 有 点 类 似 这 样 : 


鸟 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


娄 迎 使 用 页 indows 


Copyright © 1985-2001 » Professional 


| 


性 学 | 请 按 CulaltDel 开 始 。 


在 名 动 时 要 求 过 个 密码 组 ， TE 
请 按 襄 明 ] 了 解 详 细 资 讯 * 





图 16.4-7、Windows 客户 端 连 上 
PDC 的 方式 流程 示意 图 


为 了 保护 我 们 的 系统 ， 因 此 得 要 按 下 [ctrl]+[altl+[del] 三 个 组 合 按键 后 ， 才 会 出 现 如 下 的 登入 
画面 : 


登 人 页 indows 


Microsoft" 


Windows 
Copyright@ 1985-2001 » Professional 


Microsoft Corporation 





使 用 者 名 称 吧 :| dmtsai 
密码 他): | 冰冰 六 玉 

















登入 到 民 ): YBIRDHOUSE 
YEIRDHOUSE 
YBIRD WINAP 化 6 重用 


PDC 的 方式 流程 示意 图 





图 16.4-8、Windows 客户 端 连 上 


目前 系统 上 面 就 会 有 两 个 可 选择 的 账号 管理 模式 ， 一 个 是 本 机 账号 一 个 是 PDC 提供 的 账号 ， 
那 我 怎 知 登 入 者 是 哪个 管理 模式 ? 所 以 你 就 得 要 掖 下 上 述 画 面 的 『 选 项 上 」， 才 会 出 现 『 登 入 
到 J 的 那 一 行 数 据 。 出 现 的 两 个 数据 分 别 是 : 


。 VBIRDWINXP( 此 计算 机 ) : 这 就 是 你 的 计算 机 名 称 ， 亦 即 是 以 本 机 账号 登入 ; 
。 VBIRDHOUSE : 就 是 PDC 的 workgroup 项 目 ， 透 过 PDC 的 账号 来 尝试 登入 。 


现在 请 输入 你 在 Samba PDC 上 面 拥有 的 账号 与 密码 来 尝试 登入 吧 | 那 如 果 你 输入 的 账号 密 
码 是 对 的 ， 却 发 现 如 下 的 画面 时 ， 肯 定 是 某 些 档案 权限 或 者 是 SELinux 设 定 错误 ! 请 参考 
/Var/log/messages 或 /varlog/samba/* 里 面 的 登录 档 来 修改 ! 


16.4 以 PDC 服务 器 提供 账号 管理 577 


5 可 是 是 央 加 从 二 条 
人 . “或 本 六 全 用 5 


前 称 党 出 合 : 设 定 档 的 尝 昌 将 不合 
复 弄 到 但 服 器 上 * 过 可 能 是 因 高 条 
路 仿生 站 看 ， 或 实 全 性 权限 个 足 * 

如 过 过 人 问题 持 精 存 在 请 连 秒 您 


剩 鲜 时间: 18 





图 16.4-9、 使 用 PDC 账号 登入 却 发 现 
权限 错误 的 图 示 


e 4. 观察 用 户 的 家 目录 与 配置 文件 
如 果 你 可 以 顺利 登入 的 话 ， 打 开 档 案 总 管 后 应 该 可 以 看 到 类 似 下 方 的 画面 : 


人知 dmtsai it This is vbird's samba server Whirdsemen (KE, 
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图 16.4-10、 登 入 PDC 





牛 取得 的 家 目 录 状 态 


呵呵 | 该 连 上 的 通通 连结 上 来 哩 | 你 也 可 以 在 自己 的 家 目录 (K 档 ) 新 增 移 除数 据 的 ! 是 否 很 
不 错 啊 1 ^^ 人 1! 而 当 你 注销 之 后 ， 你 在 Windows 桌面 上 头 所 进行 的 各 项 个 人 化 设 定 通 RN 
移动 到 /winhome/dmtsai/profile 当中 吕 ! 如 果 不 相信 的 话 ， 请 自行 前 往 Samba 服务 器 上 

瞧 一 瞧 就 知道 了 。 


16.4.4 Wimdows 7 的 客户 端 


根据 SAMBA 官网 的 说 明 ， 支 持 Windows 7 的 Samba 版 本 必须 要 高 于 3.3.x 才 行 ， 还 好 ， 我 
们 的 CentOS 6.x Samba 版 本 丨 的 是 高 于 3.3.x 的 3.5.X， 因 此 理论 上 是 支持 Windows 7 的 ! 
只 不 过 Windows 7 要 加 入 Samba PDC 还 得 要 修改 注册 码 才 行 ! 这 部 份 丨 的 是 给 它 很 困扰 ! 
在 Windows 7 机 码 的 修改 方面 ， 主 要 是 修改 底下 的 机 码 : 


# 1\X， 这 个 部 分 是 进行 『 了 新 增 J 机 码 ! 

[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\Lanmanworkstation\Parameters] 
“DomainCompatibilityMode”=dword:00000001 

“DNSNameResolutionRequired”=dword:00000000 


修改 的 方式 为 ， 在 Windows7 的 执行 里 面 输入 『 regedit 4 ， 会 出 现 如 下 的 画面 : 





Es 3 oe 
可 袜 (” 翅 缉 (E)” 榨 并 (V) ”我 的 最 委 (A) ”说 明 (H) 

> -出 kbdhid “|| 名 多 矣 型 瓷 祝 

和 ris ab] ( 预 设 信 ) REG_SZ { 敦 入 

: . 鸭 ksecpkg Ps DNSNameResolutitpRequired REG_DWORD Ox00! 

.加 KmRm 中 DemainCoempatibilityMode REG_DWORD Ox00! 

| EnablePlainTextPassword REG_DWORD Dx00 
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图 16.4- 
11、Windows 7 注册 机 码 的 动作 


先 由 (1) 左 侧 窗 口 一 层 一 层 点 选 到 我 们 所 需要 的 目标 去 ， 然 后 (2) 观 察 最 底下 的 机 码 顺序 看 对 

不 对 。 之 后 (3) 在 右 侧 窗口 点 选 我 们 所 需要 的 机 码 ， 如 果 是 要 新 增 ， 那 就 是 在 右 侧 空白 处 右键 
单 击 选 新 增 即 可 增加 一 组 机 码 名 称 。 最 后 (4) 双 击 机 码 会 出 现 可 供 修改 的 窗口 ， 那 就 改 成 上 面 
表格 中 的 要 求 即 可 。 更 多 关于 Windows 7 加 入 PDC 的 相关 资料 ， 请 查阅 文 末 的 参考 数据 部 


分 呢 。 


等 到 将 机 码 修订 完毕 ， 你 就 可 以 使 用 与 Windows XP 相同 的 方式 来 加 入 PDC 史 !1 


16.4.5 PDC 之 问题 克服 


如 果 老 是 发 生 错 误 讯息 为 『 使 用 的 帐户 是 计算 机 帐户 。 请 使 用 你 的 通用 用 户 帐户 或 本 机 用 户 
帐户 来 存 取 这 台 服 务 器 3 时， 你 可 以 这 样 做 的 : 
。 先 察看 一 下 /var/log/samba 里 面 的 登录 文件 信息 ， 尤 其 是 log.vbirdwinxp 关于 这 部 主机 
的 信息 呐 ; 


e 如 果 还 是 无 法 解决 ， 可 以 在 Imhosts 里 面 增加 vbirdwinxp 的 IP 与 主机 名 的 对 应 ， 然 后 将 
samba 整个 关 掉 『/etc/init.d/smb stopJ ， 等 待 一 段 时 间 让 NetBIOS 的 名 称 解析 时 间作 
时 ， 再 重新 启动 samba Tetc/init.d/smb startJ ， 然 后 再 重新 做 一 次 输入 root 的 密码 那 
个 动作 


在 乌 哥 尝试 过 的 案例 中 ， 上 面 第 二 个 步骤 插 有 效 的 ! 不 过 ， 还 是 得 要 察看 /varlog/samba 里 
面 的 登录 信息 才 行 喔 ! 


e 一 些 Windows 账号 在 Windows 系统 上 面 的 使 用 技巧 


虽然 PDC 很 好 用 ， 不 过 你 要 注意 的 是 ， 每 次 你 使 用 PDC 上 头 的 账号 登入 Windows 客户 端 
主机 时 ，Windows 主机 会 由 /winhome/username/profile/ 当中 加 载 所 需要 的 数据 ， 并 暂时 局 
动 一 个 文件 夹 在 Windows 系统 的 C:\Documents and Settings\username 当中 ， 如 果 你 的 家 
目录 下 的 profile 数据 太 多 时 ， 光 是 传输 就 会 花 去 很 多 时 间 的 ! 


所 以 ， 你 应 该 将 一 些 档案 数据 放置 到 你 的 家 目录 下 ， 亦 即 K 模 当 中， 尽量 不 要 使 用 Windows 
预 设 的 『 我 的 文档 夹 4」， 因 为 『 我 的 文档 夹 」 会 将 数据 移动 到 『 
/winhome/username/profile/My Documents/ 」 目录 下 ， 同 样 的 ， 储 存 到 桌面 的 数据 会 被 放置 
到 『 /winhome/username/profile/ 桌 面 /4」 目录 中 ， 那 样 在 登入 与 注销 时 会 花 去 很 多 时 间 喔 ! 
这 个 小 地 方 也 要 注意 的 呢 1 A ^ 


好 了 ， 关 于 SAMBA 的 PDC 作法 我 们 就 谈 到 这 里 ， 还 有 更 多 的 信息 你 可 以 前 往 这 个 章节 最 后 
面 的 参考 数据 所 列 出 的 网 址 去 查阅 ， 因为 还 有 很 多 的 作法 呐 ! 事实 上 ， 鸟 哥 觉 得 在 一 个 网 域 
当中 ， 如 果 有 多 部 的 Windows NT 主机 ， 例 如 Windows 2000/XP pro. 这 一 类 的 比较 稳定 的 个 
人 使 用 桌面 版 本 时 ， 使 用 PDC 就 很 有 用 了 ! 因为 Windows 2000/XP pro. 也 是 一 个 多 人 的 操 
作 系 统 ， 不 像 Windows 98 是 单 人 的 操作 系统 。 所 以 ， 当 使 用 Windows 2000/XP pro. 而 无 法 
登入 PDC 时 ， 你 是 无 法 使 用 Windows 2000/XP pro. 上 面 的 任何 的 信息 的 。 但 是 在 
Windows 98 上 面 若 无 法 正确 的 登入 ， 你 仍然 具有 该 计算 机 的 主 控 权 喔 ! 


另外 ， 设 定 Windows 客户 端 之 前 ， 请 先 确认 你 的 Windows 是 什么 版 本 ? 上 述 的 动作 对 于 
Windows XP 家 用 版 (Home), Windows 7 是 没有 作用 的 ! 请 先 确认 才 行 喔 ! 


16.5 服务 器 简单 维护 与 管理 


除了 上 述 的 正规 作法 之 外 ， 其 实 还 有 一 些 稍微 重要 的 事情 要 跟 大 家 分 享 的 ! 


16.5.1 服务 器 相关 问题 克服 


通常 我 们 在 设 定 SAMBA 的 时 候 ， 如 果 是 以 单一 主机 的 工作 组 (Workgroup) 的 方式 来 进行 
smb.conf 的 设 定时 ， 几 乎 很 容易 就 可 以 设 定 成 功 了 ! 并 没有 什么 很 困难 的 步骤 。 不 过 ， 万 一 
还 是 无 法 成 功 的 设 定 起 来 ， 请 务必 察看 登录 档 ， 也 就 是 在 /varlog/sambay/ 里 面 的 数据 ! 在 这 
里 面 的 资料 当中 ， 你 会 发 现 : 喷 ! 怎么 这 么 多 档案 啊 ! 因为 我 们 在 smb.conf 里 面 设 定 了 : 


。 log file = /varlog/samba/log.%m 


那个 %m 是 指 客户 端 计算 机 的 NetBIOS Name 的 意思 ， 所 以 ， 当 有 个 vbirdwinxp 的 主机 来 
登入 我 们 的 vbirdserver 主机 时 ， 那 么 登入 的 信息 就 会 被 纪录 在 /varlog/samba/log.vbirdwinxp 
档案 喔 ! 而 如 果 万 一 来 源 IP 并 没有 Netbios name 的 时 候 ， 那 么 很 可 能 是 一 些 错误 讯息 ， 这 
些 错误 讯息 就 会 被 纪录 到 log.smbd, log.nmbd 里 面 去 了 ! 所 以 ， 如 果 你 要 察看 某 部 计算 机 连 
上 你 的 SAMBA 主机 发 生 了 什么 问题 时 ， 特 别 要 留意 这 个 登录 档 的 形式 喔 |! 


另外 ， 如 果 你 的 SAMBA 明明 已 经 启动 完成 了 ， 却 偏偏 老 是 无 法 成 功 ， 又 无 法 查 出 问题 时 ， 
建议 先 关闭 Samba 一 阵子 ， 再 重新 启动 : 


。 /etc/init.d/smb stop 


在 鸟 哥 过 去 的 案例 当中 ， 确 实 有 几 次 是 因为 PID 与 NetBIOS 的 问题 ， 导 致 整个 SAMBA 怪 怪 
的 一 所 以 完整 的 关闭 之 后 ， 经 过 一 阵子 的 短暂 时 间 ， 再 重新 启动 ， 应 该 就 可 以 恢复 正常 了 | 


还 有 ， 万 一 你 在 进行 写 入 的 动作 时 ， 老 是 发 现 『 你 没有 相关 写 入 的 权限 ! 」， 不 要 怀疑 ， 几 

乎 可 以 确定 是 Permission 的 问题 ， 也 就 是 Linux 的 权限 与 SAMBA 开放 的 权限 并 不 相符 合 ， 

或 者 是 SELinux 在 搞鬼 ! 无论 如 何 ， 你 必须 要 了 解 能 不 能 写 入 Linux 磁盘 ， 看 的 是 PID 的 权 
限 与 Linxu 文件 系统 是 否 吻合 ， 而 那个 smb.conf 里 面 设 定 的 相关 权限 只 是 在 SAMBA 运作 过 
程 当中 【预计 J 要 给 使 用 者 的 权限 而 已 ， 并 不 能 取代 站 正 的 Linux 权限 吕 ! 所 以 ， 万 一 引 的 

发 现 该 问题 存在 ， 请 登入 Linux 系统 ， 查 验 一 下 该 对 应 的 目录 的 permission 吧 !^ 人 和 ^ 


另外 ， 通 常 造成 明明 已 经 查 到 分 享 (smbclient -L 的 结果 )， 却 老 是 无 法 顺利 挂 载 的 情况 ， 主 要 
有 底下 几 个 可 能 的 原因 : 


e 虽然 smb.conf 设 定 正确 ， 但 是 设 定 值 『 path 」 所 指定 的 目录 却 忘 记 建 立 了 (最 常见 的 采 
样 1 ); 

e 虽然 smb.conf 设 定 为 可 擦 写 ， 但 是 目录 针对 该 用 户 的 权限 却 是 只 读 或 者 是 无 权限 ; 

。 虽然 权限 全 部 都 正确 ， 但 是 SELinux 的 类 型 却 错误 了 ! 

。 虽然 全 部 的 数据 都 是 正确 的 ， 但 是 SELinux 的 规则 (getsebool -a) 却 没有 顺利 启动 。 


上 述 都 是 一 见 的 问题 ， 更 多 问题 的 解决 方案 ， 请 参考 最 正确 的 登录 文件 信息 吧 | 人 和 


16.5.2 让 使 用 者 修改 samba 密码 同时 同步 更 新 /etc/shadow 客 
码 


有 个 问题 是 ， 我 们 知道 使 用 者 可 以 透 过 passwd 修改 /etc/shadow 内 的 密码 ， 而 且 用 户 也 能 够 
自行 以 smbpasswd 修改 Samba 的 密码 。 如 果 用 户 是 类 似 PDC 的 用 户 ， 那 么 这 些 用 户 理 论 
上 就 很 少 使 用 Linux 啤 ! 那么 想 一 想 ， 能 否 让 用 户 在 修改 Windows 密码 (就 是 Samba) 时 ， 
同步 更 新 Linux 上 面 的 /etc/shadow 密码 呢 ? 答案 是 可 行 的 啦 ! 而 且 动作 并 不 困难 一 因为 
smb.conf 里 头 已 经 提供 了 相对 应 的 参数 设 定 值 ! 你 可 以 参考 底下 的 网 站 数据 : 


e http://moto.debian.org.tw/viewtopic.php?t=7732& 
e http:/de.samba.org/samba/docs/using_samba/ch09.html 


鸟 哥 做 个 总 结 ， 基 本 上 你 需要 的 是 smb.conf 里 面 [global] 的 几 个 设 定 值 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globall] 
# 保留 前 面 的 各 项 设 定 值 ， 并 新 增 底下 三 行 即 可 : 
unix password sync = yes &lt;== 让 Samba 与 Linux 密码 同步 
passwd program = 0 %u &1t;== 以 root 呼叫 修改 密码 的 指令 
pam password change = yes &lt;== 并 且 支 持 pam 模块 ! 


[root@www ~]# testparm 
[root@www ~]# /etc/init.d/smb restart 


接 下 来 ， 当 你 以 一 般 用 户 (例如 dmtsai) 修改 samba 的 密码 时 ， 就 会 像 这 


[dmtsai@www ~]$ smbpasswd 

01d SMB password: &lt;== 得 先 输入 昌 密 码 ， 才 能 输入 新 密码 
New SMB password: 

Retype new SMB password: 

Password changed for user dmtsai &lLt;== 这 就 是 成 功 的 字样 ! 


若 出 现 底 下 的 字样 ， 应 该 就 是 你 的 密码 输入 被 限制 了 ! 例如 输入 的 密码 字符 少 于 6 个 ! 


machine 127.0.0.1 rejected the password change: Error was : Password restriction. 
Failed to change password for dmtsai 


16.5.3 利用 ACL 配合 单一 使 用 者 时 的 控 管 


想象 一 个 和 案例， 如果 你 是 学 校 的 网 管 人 员 ， 有 个 兼任 老师 向 你 申请 账号 ， 主 要 是 要 在 很 多 班 
级 内 取得 同学 的 专题 资料 。 因为 该 老师 是 兼任 的 ， 你 或 许 担心 一 不 小 心 该 教师 就 将 同学 的 辛 
将 资 料 给 销 贷 ， 倒 不 是 教师 们 故意 的 ， 而 是 很 多 时 候 … 不 熟 嘛 ! 这 个 时 候 如 果 你 将 该 老师 加 
入 同学 的 群 组 ， 然 后 偏偏 同学 们 所 在 的 目录 是 群 组 可 写 入 的 话 ， 那 么 该 教师 就 能 够 拥有 可 擦 
写 的 权限 了 ， 也 就 容易 造成 一 些 英名 的 灾难 ~ 


那 该 怎么 办 ? 其 实 可 以 透 过 ACL 来 管理 某 个 目录 的 单一 用 户 权 力 啦 ! 所 以 说 ， 权 限 的 管理 不 
必 透 过 smb.conf 的 设 定 ， 只 要 透 过 ACL 来 管理 就 能 够 达到 你 所 需要 的 目的 了 。 关于 ACL 的 
说 明 我 们 在 基础 学 习 篇 第 三 版 第 十 四 章 已 经 提 过 了 ， 这 里 不 再 鹃 唆 ， 请 自行 前 往 查 阅 呐 ! 


和 人 人 


16.6 重点 回顾 


由 Tridgell 利用 逆向 工程 分 析 网 芳 得 到 Server Message Block 协议 的 产生 ; 
Samba 名 称 的 由 来 是 因为 需 包 含 没 有 意义 的 SMB server 之 故 ; 

SAMBA 可 以 让 Linux 与 Windows 直接 进行 文件 系统 的 使 用 ; 

SAMBA 主要 架构 在 NetBIOS 上 发 展 的 ， 且 以 NetBIOS over TCP/IP 克服 NetBIOS 无 法 
跨 路 由 的 问题 ; 

Samba 使 用 的 daemon 主要 有 管理 分 享 权限 的 smbd 以 及 NetBIOS 解析 的 nmbd 
Samba 使 用 的 模式 主要 有 单机 的 Workgroup 方式 ， 以 及 网 域 控 管 的 PDC 模式 ; 
Samba 的 主 配 置 文件 之 档 名 为 smb.conf 

smb.conf 内 ， 主 要 区 分 为 [global] 服务 器 整体 设 定 与 [share] 分 享 的 资源 两 大 部 分 
Samba 使 用 者 账号 控 管 主要 的 设 定 值 为 security = {share,user,domain} 等 

Samba 客户 端 可 使 用 smbclient 以 及 mount.cifs 进行 网 芳 的 挂 载 

新 版 的 Samba 默认 使 用 数据 库 记录 帐户 信息 ， 新 增 账号 用 pdbedit ， 修 改 密码 则 用 
smbpasswd 

Samba 主要 支持 CUPS 的 打印 机 服务 器 

在 权限 控 管 方面 ， 最 容易 出 错 的 为 SELinux 的 规则 与 类 型 (SELinux type) 

在 PDC 的 设 定 方面 ， 由 于 与 主机 名 相关 性 很 高 ， 建 议 设 定 Imhosts 档案 内 容 为 宜 


16.7 本 章 习 题 


。 一 般 来 说 ，SAMBA 使 用 的 配置 文件 放置 在 哪里 ? 档 名 为 何 ? 使 用 的 档 名 为 smb.conf ， 
通常 会 放置 在 /etc/samba/smb.conf 里 面 ， 不过， 最 好 可 以 使 用 rpm -qc packagename 
来 查询 ! 

。 哪 一 个 指令 可 以 用 来 判断 smb.conf 这 个 配置 文件 的 正确 性 ? 当 我 们 修改 完 smb.conf 之 
后 ， 记 得 要 以 testparm 来 进行 samba 的 确认 ! 

。 哪 一 个 指令 可 以 用 来 察看 SAMBA 主机 分 享 出 什么 目录 ?利用 smbclient 即 可 : 

Tsmbclient -L NetBiosName -U username 4 ! 

。 在 Linux 客户 端 挂 载 网 芳 的 文件 系统 主要 是 依据 哪个 指令 来 达成 的 ? 就 是 透 过 mount.cifs 
或 mount -t cifs 来 达成 的 |! 

。 我 今天 使 用 smbpasswd 去 新 增 一 位 使 用 者 badbird， 让 他 可 以 登入 我 的 Linux SAMBA 
主机 ， 但 是 无 论 如 何 就 是 无 法 新 增 。 你 认为 原因 可 能 是 什么 ? 由 于 Samba 用 户 的 信息 必 
须要 存在 于 /etc/passwd 里 面 ， 既 然 无 法 新 增 ， 应 该 先 确 认 badbird 这 个 用 户 已 经 存在 于 
Linux 系统 当中 了 |! 


岛 哥 的 Linux 和 私房 


16.8 参考 数据 与 延伸 阅读 


。 注 1 : 维基 百科 对 Samba 的 来 源 与 作者 的 介绍 : 
http://en.wikipedia.org/wiki/Samba_software http://en.wikipedia.org/wiki/Andrew_Tridgell 

。 man5 smb.conf 

。 Study Area : http://www.study-area.org/linux/servers/linux_samba.htm 

。 电子 书 Using Samba : http://de.samba.org/samba/docs/using_samba/ch00.html 

e。 Samba PDC HOWTO: http:/us5.samba.org/samba/docs/man/Samba-HOWTO- 
Collection/samba-pdc.html 

。 SAMBA 官方 网 站 : http://www.samba.org/ 

。 杨 锦 昌 老师 的 SAMBA 密 
技 : http://apt.nc.hcc.edu.tw/web/student_server_FC1.htm#samba 

e 依 玛 猫 的 打印 文件 : http://www.imacat.idv.tw/tech/Inxprint.html 

。 Gentoo Linux 的 Samba 文件 : http://www.gentoo.org/doc/zh_tw/quick-samba- 
howto.xml 

e cupsaddsmb 用 
法 : http://www.enterprisenetworkingplanet.com/netsysm/article.php/3621876 

。 下 载 CUPS-windows 的 网 站 : http://ftp.easysw.com/pub/cups/windows/ 

e eyesblue 在 讨论 区 针对 语系 的 说 明 : http://phorum.vbird.org/viewtopic.php?t=22001 

e testparm -v 

。 关于 Windows 7 加 入 PDC 的 机 码 相 关 问 题 : 
https://wiki.samba.org/index.php/Windows7 
http://www .linuxquestions.org/questions/linux-server-73/joining-a-windows-7-client-to- 
samba-pdc-v-3-4-3-a-815174/ http://www.1stbyte.com/2009/05/31/join-windows-7-to- 
samba-pdc/ 


# 2\， 这 个 部 分 是 进行 『 修 改 ] 机 码 ! 不 过 ， 如 果 你 作 了 ， 会 让 你 可 加 入 PDC ， 

# 但 却 无 法 顺利 的 登入 ! 所 以 这 里 得 要 特别 注意 ! 

[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters] 
“RequireSignonSeal”=dword:00000000 

“RequireSstrongKey”=dword:00000000 


2001/09/17 : 好 久 以 前 曾经 完成 的 一 项 任务 ^ ^2003/07/26 : 将 2001/09/17 所 写 的 内 容 做 了 
大 幅度 的 修订 ， 增 加 原理 以 及 更 多 的 设 定 项 目 ! 2003/09/10 : 将 PDC 部 分 补充 的 更 完整 ， 
为 加 入 了 个 人 化 的 Profiles 在 /home/samba/profiles 当中 了 ! 同时 加 入 课 后 练习 喔 
2003/09/30 : 加 入 了 CUPS 打印 机 的 支持 ! 2005/10/17 : Samba 2.2 在 中 文 编码 上 面 与 最 新 
的 samba 3.0.x 版 本 不 同 。 请 参考 : 中 文 编码 网 友 的 详细 说 明 喔 1 2006/12/20 : 将 昌 的 文章 
移动 到 此 处 2006/12/29 : 终于 写 完 了 Samba 了 ! 将 PDC 改写 ， 很 多 乱 乱 的 地 方 都 改 掉 了 
一 2007/04/12 : 原本 对 homes 的 说 明 中 ， 那 个 umask 应 该 是 002 ， 原 先 的 022 是 错 的 ! 


2010/06/11 : 一 直 误 会 了 作者 的 名 字 ， 名 称 为 Andrew Tridgell 而 不 是 Tridgwell ! 抱歉 了 |! 
2011/03/18 : 将 目的 基于 CentOS 4.x 的 文章 移动 到 此 处 2011/03/31 : 终于 搞定 了 Samba ， 
光 是 实 作 就 花 去 鸟 哥 大 部 分 的 时 间 了 一 累 党 ! 2011/07/29 : 将 基于 CentOS 5.x 的 版 本 移动 到 
此 处 2011/07/29 : PDC 的 部 分 ， 终 于 可 以 加 入 windows7 鹃 1 开心 ! 


所 哥 各 0 | inux 直人 > : 


第 十 七 草 、 区 网 控制 者 : Proxy 服务 器 


最 近 更 新 日 期 : 2011/08/02 


代理 服务 器 的 功能 是 可 以 代理 局 域 网 络 的 个 人 计算 机 来 向 因特网 取得 网 页 或 其 他 数据 的 一 种 
服务 ， 由 于 代理 取得 的 数据 可 以 保存 一 份 在 服务 器 的 快 取 上 ， 因 此 以 往 有 类 似 『 假 象 加 速 ] 
的 功能 ! 不过， 目前 网 络 带 宽 已 经 比 以 前 好 很 多 ， 因 此 代理 服务 器 倒是 很 少 使 用 在 这 方面 。 
取而代之 的 是 局 域 网 络 『 高 阶 防火 墙 ] 的 角色 ! 这 里 的 『 高 阶 ] 指 的 是 OSI 七 层 协议 里 面 的 
高 层 ， 因 为 代理 服务 器 是 用 在 应 用 层 上 的 一 种 防火 墙 方 式 啦 |! 不 像 iptables 是 用 在 网 络 、 传 
输 层 。Linux 上 启动 代理 服务 器 的 是 squid 这 个 软件 哆 ! 


。 17.1 什么 是 代理 服务 器 (Proxy) 
o 17.1.1 什么 是 代理 服务 器 
o 17.1.2 代理 服务 器 的 运作 流程 
o 17.1.3 上 层 代 理 服 务 器 
o 17.1.4 代理 服务 器 与 NAT 服务 器 的 差异 
o 17.1.5 架设 代理 服务 器 的 用 途 与 优 缺点 
。 17.2 Proxy 服务 器 的 基础 设 定 
o 17.2.1 Proxy 所 需 的 squid 软件 及 其 软件 结构 
17.2.2 CentOS 预 设 的 squid 设 定 : http_port, cache_dir (SELinux), cache_mem 
o 17.2.3 管控 信任 来 源 (如 区 网 ) 与 目标 (如 恶意 网 站 ) : acl 与 http_access 的 使 用 
o 17.2.4 其 他 额外 的 功能 项 目 
o 17.2.5 安全 性 设 定 : 防火 墙 , SELinux 与 黑 名 单 档案 
e。 17.3 客户 端的 使 用 与 测试 
o 17.3.1 浏览 器 的 设 定 : firefox & IE 
o 17.3.2 测试 proxy 失败 的 画面 
e。 17.4 服务 器 的 其 他 应 用 设 定 


0 


o 17.4.2 Proxy 服务 放 在 NAT 服务 器 上 : 通 透 式 代理 (Transparent Proxy) 
o 17.4.3 Proxy 的 认证 设 定 
o 17.4.4 末端 登录 档 分 析 : sarg 

e 17.5 重点 回顾 

。 17.6 本 章 习 题 

。 17.7 参考 数据 与 延伸 阅读 

e。 17.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?f=16&t=35439 


Drv\ 有 入 天 Foo 
ProXy 汲 分 硒 588 


17.1 什么 是 代理 服务 器 (Proxy) 


代理 服务 器 (Proxy) 的 原理 其 实 很 简单 啦 ! 就 是 以 类 似 代理 人 的 身份 去 取得 用 户 所 需要 的 数据 
就 是 了 | 但 是 由 于 它 的 『 代 理 」 能力， 使 得 我 们 可 以 选 过 代理 服务 器 来 达成 防火 墙 功能 与 用 
户 浏览 数据 的 分 析 ! 此 外 ， 也 可 以 藉 由 代理 服务 器 来 达成 节省 带宽 的 目的 ， 以 及 加 快 内 部 网 
络 对 因特网 的 WWW 访问 速度 | 总 之 ， 代 理 服务 器 对 于 企业 来 说 ， 实 在 是 一 个 很 不 错 的 东西 
啊 ! 


17.1.1 什么 是 代理 服务 器 


在 申 实 世界 中 ， 我 们 或 许 会 帮忙 家 人 去 办 理 一 些 杂 务 吧 |! 举 个 例子 来 说 ， 例 如 缴费 或 者 是 申 

办 提 款 卡 等 等 的 ， 由 于 你 并 不 是 『 申 请 者 本 人 J 而 是 『 了 代理 人 J 的 角色 ， 因 此 有 时 候 会 需要 
秀 出 一 些 证 件 就 是 了 。 那么 在 网 络 上 面 的 代理 服务 器 (Proxy Server) 是 怎么 回 事 呢 ? 它 最 主 
要 的 功能 就 如 同 我 们 上 面 提 的 站 实 世界 一 样 ， 当 客户 端 有 因特网 的 数据 要 求 时 ，Proxy 会 帮 
用 户 去 向 目的 地 取得 用 户 所 需要 的 数据 。 所 以 ， 当 客户 端 指定 WWW 的 代理 服务 器 之 后 ， 用 
户 的 所 有 WWW 相关 要 求 就 会 通过 代理 服务 器 去 提取 史 1! 整个 代理 服务 器 与 客户 端的 相关 性 
可 以 由 下 图 约略 看 出 一 个 端倪 : 


i Internet 


功能 
1 .接受 窒 户 端的 要 求 
2. 向 因特网 出 发 
3. 存 一 份 在 自己 的 快 职 
4. 回 报 给 窒 户 端 ! 







代理 服务 器 


(Proxy) 





个 大 计算 机 个 人 计算 机 个 人 计算机。 个 大 计算 机 图 17.1-1、 代 理 服务 器 、 客 户 端 与 

特 网 的 相关 性 示意 图 

一 般 来 说 ， 代 理 服务 器 会 架设 在 整个 区 网 0 点 对 外 防火 墙 上 头 ， 而 在 区 网 内 部 的 计算 机 就 
向 因 拉 


都 是 透 过 Proxy 来 寺 网 要 求 数据 的 ， 这 就 是 所 谓 的 『 代 理 服务 器 」 啦 1 当然 ， 上 面 的 架 
构 仅 只 是 一 个 案例 ， 但 是 这 个 架构 比较 多 人 用 的 原因 ， 是 因为 这 样 的 Proxy server 还 可 以 兼 


做 高 阶 防火 墙 之 用 啦 ! 


在 Proxy 与 客户 端的 相关 性 当中 ， 你 必需 要 了 解 的 是 : 客户 端 向 外 部 要 求 的 资料 事实 上 都 是 
Proxy 帮 用 户 取得 的 ， 因 此 因特网 上 面 看 到 要 求 数据 者 ， 将 会 是 Proxy 服务 器 的 IP 而 不 是 客 
户 端的 IP。 举 个 例子 来 说 ， 假 如 乌 哥 在 我 的 浏览 器 设 定 了 我 们 学 校 的 代理 服务 器 主机 
proxy.ksu.edu.tw 做 为 我 的 Proxy 好 了 ， 再 假设 我 的 IP 是 120.114.141.51 ， 那 么 当 我 想 要 取 
得 Yahoo 的 新 闻 信 息 时 ， 事 实 上 ， 都 是 proxy.ksu.edu.tw 帮 我 去 取得 的 ， 所 以 在 Yahoo 的 网 
站 上 面 看 到 要 求 数据 的 人 是 谁 呢 ? 呵呵 | 当然 就 是 proxy.ksu.edu.tw 而 不 是 120.114.141.51 
史 1 这 样 可 以 了 解 Proxy 的 功能 了 吗 ? 


除了 这 个 功能 之 外 ，Proxy 还 有 一 个 很 棒 的 额外 功能 ， 那 就 是 防火 墙 的 功能 ! 看 一 下 上 面 的 
图 示 ， 你 可 以 发 现 一 件 事 情 ， 那 就 是 客户 端的 个 人 计算 机 要 连 上 因特网 一 定 要 经 过 Proxy 服 
务 器 。 并 且 ， 如 果 有 人 想 要 入 侵 你 的 系统 时 ， 由 于 你 的 proxy 在 最 外 部 啊 ， 所 以 攻击 者 就 会 
攻击 错 方向 ， 如 此 一 来 ， 不 就 比较 安全 ! 此外， 由 于 整个 因特网 对 外 都 是 经 过 proxy ， 也 就 
是 『 单 点 对 外 J 的 情况 ， 这 种 状态 底下 要 来 管理 防火 墙 也 是 比较 简单 的 喔 1 ^ 人 人 ^ 


17.1.2 代理 服务 器 的 运作 流程 


了 解 了 Proxy 的 功能 之 后 ， 我 们 来 谈 一 谈 那 么 Proxy 到 底 是 怎样 运作 的 呢 ?为 何 它 会 有 『 加 
快 网 络 存 取 效 率 」 的 好 处 ? 这 就 必需 要 以 底下 的 图 示 来 说 明了 | 


2b 
——l,a—” 
< 1 > 
, a 
人 
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的 运作 流程 图 : 快 取 数 据 与 客户 端 


Internet 











图 17.1-2、 代 理 服务 器 


当 客 户 端 指定 了 代理 服务 器 之 后 ， 在 客户 端 想 要 取得 因特网 上 面 的 信息 时 ， 它 是 这 样 取得 数 
据 的 ( 注 : 那个 Cache 表示 为 Proxy 服务 器 的 硬盘 的 意思 ) : 


。 当 Proxy 的 快 取 拥 有 用 户 所 想 要 的 数据 时 (Step a ~ d) : 
。 Client 端 向 Server 端 发 送 一 个 数据 需求 封包 ; 


e Server 端 接收 之 后 ， 先 比 对 这 个 封包 的 『 来 源 」 与 预计 要 前 往 的 『 目 标 」 网 站 是 否 为 可 
接受 ? 如 果 来 源 与 目标 都 是 合法 的 ， 或 者 说 ， 来 源 与 目标 网 站 我 们 的 Proxy 都 能 帮忙 取 
得 资料 时 ， 那 么 Server 端 会 开始 蔡 Client 取得 资料 。 这 个 步骤 中 比较 重要 的 就 是 『 比 对 
政策 上 啦 ， 有 点 像 是 认证 的 感觉 啦 ; 


Server 首先 会 检查 自己 快 取 (新 的 数据 可 能 在 内 存 中 ， 较 加 的 数据 则 放置 在 硬盘 上 ) 数 
据 ， 如 果 有 Client 所 需 的 数据 ， 那 就 将 数据 准备 取出 ， 而 不 经 过 向 Internet 要 求 数 据 的 
程序 ; 


。 最 后 当然 就 是 将 数据 回 传 给 Client 端 虽 ! 
。 当 Proxy 的 快 取 没有 用 户 所 想 要 的 数据 时 (Step 1 ~ 5) : 
e Client 端 向 Server 端 发 送 一 个 数据 需求 封包 ; 


e。 Server 端 接 收 之 后 ， 开 始 进 行政 策 比 对 ; 
e Server 发 现 快 取 并 没有 Client 所 需要 的 资料 ， 准 备 前 往 因 特 网 抓 取 数据 ; 
。 Server 开始 向 Internet 发 送 要 求 与 取得 相关 资料 ; 

。 最 后 当然 就 是 将 数据 回 传 给 Client 端 史 |! 


上 面 的 流程 分 析 里 面 ， 我 们 可 以 清楚 的 知道 ， 当 Proxy 曾经 帮 某 位 用 户 取得 过 A 数 据 后 ， 当 
后 来 的 用 户 想 要 重复 取得 人 数据 时 ， 那 么 Proxy 就 会 从 自己 的 快 取 里 面 将 人 数据 取出 传送 给 
用 户 ， 而 不 用 跑 到 因特网 去 取得 同样 的 这 份 资 料 别 。 因 为 没有 去 因特网 找 数据 ， 当 步骤 4 的 
流程 很 花 时 间 时 ， 那 么 透 过 Proxy 忽略 步骤 4， 感 觉 上 就 好 像 网 络 速度 变 快 了 | 但 其 实 只 是 
直接 从 Proxy 的 快 取 里 面 抓 而 已 (所 以 才 会 有 人 说 『 假 象 网 络 加 速 」 的 功能 ) ! 这 就 是 两 个 流 
程 最 大 的 差异 了 。 


在 目前 的 因特网 社会 里 ， 由 于 宽带 技术 已 经 很 成 熟 ， 所 以 在 不 乱用 的 情况 下 ， 网 络 带 宽 理 论 
上 是 足够 的 (除非 要 连 到 国外 去 ) 。 那 么 用 了 Proxy 之 后 效能 会 不 会 更 提升 呢 ? 答案 是 ，『 应 
该 不 会 | 啥 ? 怎么 会 这 样 呢 ? 从 上 面 的 流程 分 析 中 ， 我 们 发 现 Proxy 会 常常 去 读 取 硬 盘 内 
的 数据 ， 而 硬盘 内 的 快 取 数 据 又 是 透 过 某 些 特殊 方式 在 管理 ， 因 此 要 找到 该 份 数 据 就 要 花 一 
些 时 间 ， 再 加 上 如 果 硬 件 效能 (硬盘 或 主板 芯片 组 ) 不 佳 时 ， 那 么 加 了 Proxy 反而 会 让 你 感觉 
网 络 传输 怎么 『 卡 卡 的 了 哆 ! 这 点 得 要 特别 注意 才 行 ! 


Tips: Proxy 对 于 cache 的 速度 是 很 要 求 的 ， 而 这 个 cache 就 是 硬盘 啦 | 当然 ， 硬 盘 容 量 必需 
要 足够 大 ， 而 且 还 要 『 足 够 快 」 才 行 ! 因为 由 上 面 的 流程 当中 ， 我 们 不 难 发 现 ，cache 是 一 
直 被 重复 存 取 的 一 个 地 方 喔 ! 所 以 硬盘 的 好 坏 就 差别 很 大 啦 ! 可 以 说 他 是 影响 一 个 Proxy 效 
能 好 坏 的 关键 点 呢 ! 





17.1.3 上 层 代 理 服务 器 


想 一 想 ， 既 然 Proxy 是 帮忙 客户 端 进行 网 页 代理 的 工作 ， 那 么 我 们 的 Proxy 能 不 能 也 指定 另 
外 一 台 Proxy 当成 我 的 Proxy 的 Proxy 呢 ?很 绕 口 吧 ! 其 实 流程 像 底下 这 样 啦 : 


与 入 Internet 


图 17.1-3、 









个 人 计算 机 
Local 代理 服务 器 上 层 代 理 服务 器 


上 层 代 理 服务 器 示意 图 


就 是 我 们 的 Local proxy 并 不 会 主动 的 去 提 数 据 ， 而 是 再 透 过 『 上 层 代 理 服 务 器 」 向 Internet 
要 求 资料 ! 这 样 有 什么 好 处 呢 ? 由 于 可 做 为 我 们 的 上 层 代 理 服务 器 的 主机 通常 是 具有 较 高 带 
宽 的 ， 因 此 我 们 透 过 它 去 要 求 数据 当然 『 了 理论 上 J 速度 会 更 快 喔 ! 而 上 层 代理 服务 器 最 大 的 
好 处 其 实 是 在 于 『 分 流 」 喔 1! 例如 下 图 所 示 : 









其 他 网 络 
目的 地 则 
自己 前 往 


往日 本 
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上 技 代 理 服 务必 -3 图 17.1-4、 以 多 部 上 层 代 理 服务 器 


达到 分 流 的 效果 示意 图 


我 总 共 设 定 了 三 部 上 层 代理 服务 器 ， 由 于 这 三 个 代理 服务 器 对 外 的 速度 都 不 相同 ， 所 以 ， 当 
我 要 去 美国 时 ， 就 以 Proxy1 来 要 求 资料 ， 要 连 欧洲 就 以 Proxy3 ， 至 于 要 连日 本 ， 就 以 
Proxy 2 来 要 求 我 所 需要 的 数据 ， 如 此 一 来 ， 呵 呵 ! 可 以 让 我 的 Proxy 达到 最 佳 的 效能 喔 ! 很 
不 错 吧 | 此 外 ， 为 了 节省 上 层 proxy 的 负担 ， 如 果 是 其 他 网 络 位 置 ， 我 们 则 设 定 由 自己 的 
local proxy 提取 ~ 设 定 的 弹性 很 高 呢 ! 


由 于 代理 服务 器 需要 管控 信任 的 来 源 端 客户 端 计算 机 ， 因 此 各 1SP 仅 能 针对 自家 的 用 户 来 开 
放 Proxy 使 用 权 而 已 。 台湾 常见 的 几 家 ISP 提供 的 Proxy 有 : 


。 Hinet : http://service.hinet.net/2004/new_adsl04.htm 
e。 SeedNet : https://service.seed.net.tw/home/setting/server.htm 


由 于 当 用 户 透 过 Proxy 连 到 因特网 时 ， 网 络 看 到 的 是 Proxy 在 抓 取 数据 而 不 是 该 客户 端 ， 
此 ， 我 们 不 难 发 现 Proxy 有 可 能 会 被 客户 端 过 度 的 滥用 ， 同 时 也 有 可 能 会 被 拿 来 为 非 作 歹 
啊 1 所以， 目前 绝 大 部 分 的 Proxy 已 经 『 了 停止 对 外 开放 J」 了 ， 仅 针对 自己 的 网 域内 的 用 户 提 


供 本 项 服务 而 已 ~ 


因此 ， 如 果 你 要 自行 设 定 Proxy 的 时 候 ， 请 记得 去 你 当初 申请 网 络 的 |SP (如 果 是 学 术 单 位 ， 
请 到 贵 单位 的 计 中 网 页 瞧 瞧 即 可 ) 搜寻 一 下 ， 才 能 比较 有 效 的 设 定 好 你 的 服务 器 喔 ! 因为 设 定 
错误 的 话 ， 呵 呵 | 上 层 Proxy 根本 不 提供 服务 ， 或 者 是 上 层 Proxy 的 效能 并 不 好 ， 那 个 时 候 
你 的 Proxy 也 会 连带 的 受到 很 大 的 影响 啊 ! 惯 选 ! 惯 选 


17.1.4 代理 服务 器 与 NAT 服务 器 的 差异 


或 许 你 已 经 发 现 了 一 件 事 ， 那 就 是 : 在 内 部 局 域 网 络 使 用 私有 IP 的 客户 端 ， 不 论 透 过 Proxy 
或 者 NAT 均 可 以 直接 取得 WWW 的 服务 ， 那 么 NAT 与 Proxy 有 没有 什么 不 同 的 地 方 啊 ? 它 
们 不 都 是 可 以 让 内 部 的 计算 机 连接 出 去 吗 ? 其 实 这 两 个 玩意 儿 差异 性 是 『 相 当 大 4 的 喔 ! 简 
单 说 明 如 下 : 


。 NAT 服务 器 的 功能 : 就 如 同 第 九 章 提 到 的 数据 ，Linux 的 NAT 功能 主要 透 过 封包 过 滤 的 
方式 ， 并 使 用 iptables 的 nat 表格 进行 IP 伪装 (SNAT) ， 让 客户 端 自 行 前 往 因特网 上 的 
任何 地 方 的 一 种 方式 。 主 要 的 运作 行为 是 在 OSI 七 层 协定 的 二 、 三 、 四 层 。 由 于 是 透 过 
封包 过 滤 与 伪装 ， 因 此 客户 端 可 以 使 用 的 端口 号 码 (第 四 层 ) 较 弹性 


e Proxy 服务 器 的 功能 : 主要 透 过 Proxy 的 服务 程序 (daemon) 提供 网 络 代理 的 任务 ， 因 
此 Proxy 能 不 能 进行 某 些 工作 ， 与 该 服务 的 程序 功能 有 关 。 举例 来 说 ， 如 果 你 的 Proxy 
并 没有 提供 邮件 或 FTP 代理 ， 那 么 你 的 客户 端 0 Proxy 去 取得 这 些 网 络 资 
源 。 主要 运作 的 行为 在 OSI 七 层 协议 的 应 用 层 部 分 (所 谓 的 比较 "高 阶 "之 意 ) 。 


这 样 说 有 没有 比较 有 点 概念 了 呢 ? NAT 服务 器 是 由 较 底 层 的 网 络 去 进行 分 析 的 工作 ， 至 于 通 
过 NAT 的 封包 是 干 嘛 用 的 ，NAT 不 去 管 他 至 proxy 则 主要 是 由 一 个 daemon 的 功能 达 
成 的 ， 所 以 必需 要 符合 该 daemon 的 需求 ， 达到 某 些 功能 ! 


17.1.5 架设 代理 服务 器 的 用 途 与 优 缺点 


我 们 约略 知道 Proxy 的 功能 了 ， 那 么 通常 什么 情况 下 会 架设 Proxy 呢 ? 一般 来 说 ， 代 理 
及 务 3 器 的 功 和 有 EE 主要 有 ， 


e@ 作为 WWW 的 网 页 资料 取得 代理 人 : 这 是 最 主要 的 功能 嘛 ! 


。 作为 内 部 区 网 的 单 点 对 外 防火 墙 系统 : 如 图 17.1-1 所 示 一 般 ， 如 果 你 的 Proxy 是 放 在 内 
部 区 网 的 Gateway 上 头 ， 那 么 这 部 代理 服务 器 就 能 够 作为 内 部 计算 机 的 防火 墙 了 ! 而 且 
还 不 需要 设 定 那 复杂 的 NAT 功能 呢 ! 只 是 单纯 的 Proxy 服务 器 通常 仅 提供 WWW 的 代 
理 ， 因 此 内 部 计算 机 想 要 取得 smtp, ftp.… 就 比较 麻烦 ~ 


由 于 Proxy 的 这 种 特性 ， 让 他 很 常 被 使 用 于 大 型 的 企业 内 部 ， 因 为 可 以 达到 杜绝 内 部 人 员 上 
班 时 使 用 非 WWW 以 外 的 网 络 服务 ， 而 且 还 可 以 监测 用 户 的 资料 要 求 流向 与 流量 呢 ! 很 不 错 
吧 1 和 人 人 1 好 了 ， 接 下 来 我 们 来 谈 一 谈 当 你 架设 了 Proxy 后 的 优 缺点 吧 。 先 来 谈 谈 主要 可 能 具 
有 的 优点 有 : 


e 节省 单 点 对 外 的 网 络 带宽 ， 降 低 网 络 负载 : 当 你 的 Proxy 用 户 很 多 时 ， 那 么 Proxy 内 部 
的 快 取 数 据 将 会 累积 较 多 。 因 此 客户 端 想 要 取得 网 络 上 的 数据 时 ， 很 多 将 会 从 Proxy 的 
快 取 中 取得 ， 而 不 用 向 因特网 要 求 资料 。 所 以 可 以 节省 带宽 啊 ! 


。 以 较 短 的 路 径 取 得 网 络 数据 ， 有 网 络 加 速 的 感觉 : 例如 你 可 以 指定 你 的 ISP 提供 的 代理 
服务 器 连接 到 国外 ， 由 于 ISP 提供 的 Proxy 通常 具有 较 大 的 对 外 带宽 ， 因 此 在 对 国外 网 
站 的 数据 取得 上 ， 通 常会 比 你 自己 的 主机 联机 到 国外 要 快 的 多 。 此 外 ， 与 上 一 点 的 快 取 
数据 也 有 关系 啊 ! 从 内 部 硬盘 取得 的 路 径 总 比 对 外 的 因特网 要 短 的 多 啊 ! 


e 透 过 上 层 代理 服务 器 的 辅助 ， 达 到 自动 数据 分 流 的 效果 : 例如 图 17.1-4 所 示 ， 让 客户 端 
在 不 知 不 觉 之 间 ， 就 可 以 得 到 数据 由 不 同 Proxy 取得 的 加 速效 果 ! 


e 提供 防火 墙 内 部 的 计算 机 连 上 Internet : 就 是 上 面 提 到 的 单 点 对 外 防火 墙 功 能 |! 


由 于 代理 服务 器 的 这 些 优点 ， 因 此 这 里 要 强烈 的 建议 ， 如 果 你 需要 连 上 国外 的 网 页 ， 请 一 定 
使 用 ISP 提供 给 你 的 代理 服务 器 来 帮忙 ， 因 为 不 但 可 以 节省 带宽 ， 并 且 速 度 上 会 快 上 很 多 很 
多 (例如 美国 环保 署 , EPA 网 站 )。 不 过 ， 有 利 就 有 产 ， 当 然 Proxy 也 不 是 万 能 的 天 神 一 他 有 
什么 可 能 潜藏 的 缺点 呢 ? 


。 容易 被 内 部 区 网 的 人 员 滥 用 : 我 们 知道 因特网 上 看 到 取得 资料 的 人 是 Proxy 那 部 主机 而 
不 是 客户 端 计 算 机 的 IP， 因 此 可 能 会 让 某 些 内 部 网 络 使 用 人 员 开 始 利用 你 的 proxy 干 坏 
事 ， 此 时 你 就 会 很 麻烦 ~ 所 以 ， 为 了 杜绝 这 个 状况 ， 强 烈 的 建议 多 加 登录 档案 分 析 的 软 
件 ， 在 管理 上 面 会 轻松 很 多 喔 ! 


。 需要 较 高 超 的 设 定 技巧 与 除 错 程序 : 在 鸟 哥 设 定 过 的 服务 器 当中 ， Proxy 彰 是 比较 不 容 
易 设 定好 『 效 能 〗 的 一 个 服务 器 了 ! 由 于 Proxy 的 Cache 与 他 的 『 上 层 代理 服务 器 J 的 
关系 是 很 紧密 的 ， 万 一 设 定 错误 的 话 ， 很 有 可 能 反而 让 你 的 Proxy 拖 垮 客户 端 WWW 的 
浏览 速度 ! 最 严重 的 是 造成 无 法 联机 ! 


e 可 能 会 取得 昌 的 错误 数据 : 这 个 最 容易 发 生 了 | 由 于 曾经 浏览 过 的 网 页 会 被 放置 到 快 
取 ， 并 提供 后 续 用 户 的 直接 取得 。 万 一 因特网 上 面 的 那个 网 页 数据 更 新 过 呢 ? 那 时 你 会 
发 现 ， 怎 么 客户 端 无 法 看 到 更 新 后 的 资料 ? 就 是 因为 快 取 的 问题 啊 ! 取得 理 数 据 的 频率 
可 能 会 很 高 啊 ! 

总 之 ，Proxy 的 优点 是 很 多 的 ， 但 是 缺点 却 需要 网 管 人 员 的 操心 啊 ! 既然 如 此 ， 那 么 我 们 到 
底 有 没有 需要 架设 代理 服务 器 呢 ? 简单 的 说 ， 我 们 可 以 这 样 分 析 ! 

。 我 的 Client 端 用 户 不 少 ， 而 且 大 部 分 仅 需 要 WWW 这 个 网 络 服务 而 已 ; 

。 我 的 Proxy 还 兼 做 防火 墙 的 任务 ; 

。 我 的 Client 端 常常 需要 联机 到 传输 速度 很 慢 的 网 站 ， 例 如 国外 的 网 站 ; 


。 我 的 Client 端 常常 浏览 的 网 站 是 『 静 态 」 网 站 ， 而 不 是 动态 网 站 (例如 讨论 区 的 PHP) 。 


如 果 你 有 上 述 的 环境 状况 ， 那 么 是 可 以 考虑 架设 Proxy 的 ， 但 是 ， 相 反 的 来 说 ， 要 是 (1) 我 的 
Client 端 很 少 ， 所 以 每 次 连 上 WWW 都 是 求 取 新 的 资料 (并 没有 用 到 快 取 )， 有 没有 Proxy 反 
而 看 不 出 效益 一 此 外 ，(2)Proxy 由 于 属于 应 用 层 了 ， 对 于 Internet 的 规划 上 弹性 较 不 足 ! 不 

像 NAT 服务 器 可 以 进行 很 多 的 功能 1 (3) 我 常常 上 的 网 站 是 类 似 讨论 区 那 种 一 日 多 变 的 网 站 ， 
在 这 样 的 情况 下 ， 实 在 是 没有 必要 架设 Proxy 的 ! 


但 是 ， 如 果 对 于 学 校 单位 那 原本 带宽 就 不 足 的 环境 中 ， 架 设 Proxy 来 让 校内 的 网 络 速 度 提 
升 ， 呵 呵 ! 就 是 有 那个 必要 性 的 啦 ! 所 以 要 不 要 架设 Proxy 呢 ? 请 好 好 的 依据 你 的 环境 来 考 
虑 弓 ! 但 无 论 如 何 ， 我 们 还 是 要 教 大 家 怎么 架设 它 就 是 了 A^ 


17.2 Proxy 服务 器 的 基础 设 定 


虽然 在 我 们 小 型 的 网 络 环境 中 ， 架 设 Proxy 丨 的 没有 什么 用 ， 不 过 ， 考 上 外 到 大 家 未 来 可 能 会 
高 升 嘛 ! 所 以 企业 常用 的 Proxy 也 需要 了 解 一 下 比较 好 。 在 这 个 小 节 中 ， 我 们 主要 介绍 一 个 
比较 简单 的 Proxy 环境 ， 就 是 单纯 可 以 跑 而 已 的 代理 服务 器 。 比 较 高 阶 的 设 定 请 参考 后 续 小 
节 的 介绍 嘿 。 


17.2.1 Proxy 所 需 的 squid 软件 及 其 软件 结构 


达成 代理 服务 器 功能 的 软件 很 多 ， 例 如 效能 不 是 很 好 的 Apache 以 及 我 们 这 个 章节 要 介绍 的 
和 八 爪 章鱼 squid 这 一 套 。 目前 代理 服务 器 在 Unix Like 的 环境 下 ， 大 多 就 是 使 用 squid ， 因 此 
我 们 这 里 以 squid 为 准 来 介绍 啦 。 同 样 的 ， 请 使 用 rpm 来 检查 ， 如 果 尚 未 安装 ， 请 用 『 yum 
install squid 4 来 安装 吧 ! 安装 好 squid 之 后 ， 它 主要 的 提供 的 配置 文件 有 : 


。 /etc/squid/squid.conf 这 个 是 主要 的 配置 文件 ， 所 有 squid 所 需要 的 设 定 都 是 放置 在 这 个 
档案 当中 的 1! 鸟 哥 底下 提 到 的 种 种 设 定 方 法 几乎 都 是 这 个 档案 里 面 的 说 明 喔 |! 


。 /etc/squid/mime.conf 这 个 档案 则 是 在 设 定 squid 所 支持 的 Internet 上 面 的 文件 格式 ， 就 
是 所 谓 的 mime 格式 哩 ! 一 般 来 说 ， 这 个 档案 的 预 设 内 容 已 经 能 够 符合 我 们 的 需求 了 ， 
所 以 不 需要 更 动 他 ， 除 非 你 很 清楚 的 知道 你 所 需要 额外 支持 的 mime 文件 格式 。 


其 他 重要 的 目录 与 档案 有 : 


e。 /usr/sbin/squid : 提供 squid 的 主 程 序 啊 | 

e。 /var/spool/squid : 就 是 默认 的 squid 快 取 放 置 的 目录 。 

e。 /usr/lib64/squid/ : 提供 squid 额外 的 控制 模块 ， 尤 其 是 影响 认证 密码 方面 的 程序 ， 都 是 
放 在 这 个 目录 下 的 ; 


17.2.2 CentOS 预 设 的 squid 设 定 
在 预 设 的 情况 下 ，CentOS 的 squid 具有 底下 几 个 特色 : 


。 仅 有 本 机 (localhost, 127.0.0.1) 来 源 可 以 使 用 这 个 squid 功能 

。 squid 所 监听 的 Proxy 服务 埠 口 在 port 3128 

。 快 取 目 录 所 在 的 位 置 在 /var/spool/squid/ ， 且 仅 有 100MB 的 磁盘 高 速 缓存 量 

e。 除了 squid 程序 所 需要 的 基本 内 存 之 外 ， 尚 提供 8MB 的 内 存 来 给 热门 档案 快 取 在 内 存 中 
(因为 内 存 速 度 比 硬盘 还 快 ) 

。 默认 启动 squid 程序 的 用 户 为 squid 这 个 账号 (与 磁盘 高 速 缓存 目录 权限 有 关 ) 


其 实 ，CentOS 预 设 的 squid 设 定 ， 是 仅 针 对 本 机 (localhost) 开放 的 情况 ， 而 一 大 堆 设 定 的 
默认 值 ， 都 是 仅 针对 小 型 网 络 环境 所 指定 的 数值 ， 同时， 很 多 比较 特殊 的 参数 都 没有 启动 。 
所 以 ， 我 们 就 得 要 来 了 解 一 下 各 设 定 值 的 意义 ， 这 样 才 能 够 进行 修改 嘛 ! 这 些 参数 都 是 在 
squid.conf 里 头 指定 的 ， 所 以 ， 就 让 我 们 来 看 看 这 个 档案 的 内 容 与 较 重 要 的 参数 吧 : 


Tips: CentOS 6.x 已 经 将 squid.conf 里 面 不 相干 的 设 定 值 通通 拿 掉 了 ， 所 以 这 个 档案 就 变 的 
非常 的 精简 ! 这 样 其 实 有 好 有 坏 啦 ! 好 处 是 ， 你 不 用 去 看 一 些 你 用 不 到 的 参数 值 ， 坏 处 是 ， 
如 果 你 想 要 其 他 的 设 定 ， 就 得 额外 参考 外 部 文件 了 ! 伤 脑筋 一 


[root@www ~]# vim ds conf 
# 1\， 信任 用 户 与 目标 控制 ， 透 过 acl 定义 出 localhost 等 相关 用 户 


acl manager proto cache_object &lt;== 定 义 manager 为 管理 功能 
acl localhost src 127.0.0.1/32 &lt;== 定 义 localhost 为 本 机 来 源 


acl localhost src ::1/128 
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 &lt;== 定 义 to_localhost 可 联机 到 本 机 
acl to_ localhost dst ::1/128 


# 2\， 信任 用 户 与 目标 控制 ， 定 义 可 能 使 用 这 部 proxy 的 外 部 用 户 (内 网 ) 

acl localnet src 10.0.0.0/8 &1lLt ;== 可 发 现 底 下 都 是 private IP 的 设 定 
acl localnet src 172.16.0.0/12 

acl localnet src 192.168.0.0/16 

acl localnet src fc00::/7 

acl localnet src fe80::/10 

# 上 述 数 据 设 定 两 个 用 户 (localhost，1localnet) 与 一 个 可 取得 目标 (to_localhost) 


# 3\， 定义 可 取得 的 数据 端口 所 在 ! 


acl SSL_ports port 443 &1t ;== 联 机 加 密 的 堆 口 设 定 
acl Safe ports port 80 # http &1t;== 公 认 标 准 的 协议 使 用 堆 口 
acl Safe_ports port 21 # ftp 

acl Safe_ports port 443 # https 


# 定义 出 SSL_ports 及 标准 的 常用 埠 口 Safe_ports 两 个 名 称 


# 4\， 定 义 这 些 名 称 是 否 可 放行 的 标准 依据 (有 顺序 喔 ! ) 
http_access allow manager localhost &1t;== 放 行 管理 本 机 的 功能 


http_access deny manager &1t ;== 其 他 管理 来 源 都 予以 拒绝 
http_access deny !Safe_ports &lLt;== 拒 绝 非 正规 的 埠 口 联机 要 求 


http_access deny CONNECT !SSL_ports &1lt;== 碟 绝 非 正规 的 加 密 堆 口 联机 要 求 
&1t ;== 这 个 位 置 为 你 可 以 写 入 自己 的 规则 的 位 置 嘿 ! 不 要 写 错 了 ! 有 顺序 之 分 的 ! 


http_access allow localnet &lt ;== 放 行内 部 网 络 的 用 户 来 源 
http_access allow localhost &1t ; == 放行 本 机 的 使 用 
http_access deny all &1t ;== 全 部 都 予以 拒绝 啦 ! 


# 5\， 网 络 相 关 参 数 ， 最 重要 的 是 那个 定义 Proxy 协议 埠 口 的 http_port 
http_port 3128 &1lt;==Proxy 预 设 的 监听 客户 端 要 求 的 堆 口 ， 是 可 以 改 的 
# 其 实 ， 如 果 想 让 proxy server/client 之 间 的 联机 加 密 ， 可 以 改 用 https_port (923) 


# 6\， 快 取 与 内 存 相关 参数 的 设 定 值 ， 尤 其 注意 内 存 的 计算 方式 

hierarchy_stoplist cgi-bin ? &lt;==hierarchy_stoplist 后 面 的 关键 词 (此 例 为 cgi-bin) 
# 若 发 现在 客户 端 所 需要 的 网 址 列 ， 则 不 快 取 (避免 经 常 变动 的 数据 库 或 程序 讯息 ) 

cache_mem 8 MB &1t ;== 给 proxy 额 外 的 内 存 ， 用 来 处 理 最 热门 的 快 取 数 据 ( 需 自 己 加 ) 


# 7\， 磁 盘 高 速 绥 存 ， 亦 即 放置 快 取 数 据 的 目录 所 在 与 相关 设 定 

cache_dir ufs /var/spool/squid 100 16 256 &1lt;== 默 认 使 用 100MB 的 容量 放置 快 取 
coredump_dir /var/spool/squid 

# 底下 的 四 个 参数 得 要 自己 加 上 来 喔 ! 旧版 才 有 这 样 的 默认 值 ! 

minimum_object_size 90 KB &1t ;== 小 于 多 少 KB 的 数据 不 要 放 快 取 ，Q 为 不 限制 
maximum_object_size 4096 KB &1lt;== 与 上 头 相 反 ， 大 于 4 MB 的 数据 就 不 快 取 到 磁盘 
cache_swap_low 90  &lt;== 与 下 一 行 有 关 ， 减 低 到 剩 下 90% 的 磁盘 高 速 绥 存 为 止 
cache_swap_high 95 &lt;== 当 磁盘 使 用 量 超过 95% 就 开始 删除 磁盘 中 的 上 昌 快 取 


# 8\， 其 他 可 能 会 用 到 的 默认 值 ! 参考 参考 即 可 ， 并 不 会 出 现在 配置 文件 中 。 

access_1og /var/1og/squid/access E09 squid &1t;== 曾 经 使 用 过 squid 的 用 户 记 录 
ftp_user Squid@ &]lt;== 当 以 Proxy 进行 FTP 代理 匿名 本 孙 时 ， 使 用 的 账号 名 称 
ftp_passive on  &lt;== 若 有 代理 FTP 服务 ， 使 用 被 动 式 联机 


refresh_pattern Aftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 QO% 1440 
refresh_pattern -i (/cgi-bin/&#124;\?) 0 QO% 0 
refresh_pattern 0 20% 4320 

# 上 面 这 四 行 与 快 取 的 存在 时 间 有 关 ， 底 下 内 文 会 子 以 说 明 

cache_mgr root &1t ;== 预 设 的 proxy 管理 员 的 email 


cache_effective_user squid  ”&lt;== 启 动 squid PID 的 拥有 者 
cache_effective_group squid &1lt;== 启 动 squid PID 的 群 组 

# visible_hostname &1t;== 有 了 时 由 于 DNS 的 问题 ， ， 找 不 到 主机 名 会 出 错 ， 就 得 加 上 此 设 定 
ipcache_size 1024 &lt;== 以 下 三 个 为 指定 IP 进行 快 取 的 设 定 值 

ipcache_low 90 

ipcache_high 95 


光 是 了 解 上 述 的 一 些 基础 设 定 值 ， 可 能 就 要 头 措 鲁 了 ， 更 别 说 squid.conf 里 面 的 其 他 设 定 
值 ， 看 到 头 好 撒 .… 无 论 如 何 ， 上 述 这 些 设 定 已 经 是 很 基础 的 设 定 了 ， 你 最 好 了 解 一 下 ! 除了 
cache_dir 那 一 行 取消 批注 ， 其 他 的 保持 不 动 ! 让 我 们 以 默认 值 来 直接 启动 squid 看 看 有 什么 
特别 的 地 方 再 说 。 


。 使 用 默认 值 来 启动 squid 并 观察 相关 信息 
要 启动 squid 站 是 简单 ， 让 我 们 来 启动 squid 并 且 观 察 有 没有 相关 的 起 口 吧 ! 


[root@www ~]# /etc/init.d/squid start 

init_cache_dir /var/spool/squid..， 正在 激活 squid: . [ 确定 ] 
# 第 一 次 启动 会 初始 化 快 取 目 录 ， 因 此 会 出 现 上 述 左 边 的 数据 ， 未 来 这 个 讯息 不 会 再 出 现 
[root@www ~]# netstat -tulnp &#124; grep squid 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 :::3128 0 LISTEN 2370/ (squid) 
udp 0 0 :::45470 2370/ (squid) 


[root@www ~]# chkconfig squid on 


如 果 你 有 设 定 icp_port 时 ，squid 预 设 会 启动 3128 及 3130 两 个 起 口 ， 其 中 要 注意 的 是 ， 实 
际 帮 用 户 进行 监听 与 传送 数据 的 是 port 3128 (TCP)，3130 (UDP) 仅 是 负责 与 邻近 Proxy 互 
相 沟通 彼此 的 快 取 数 据 库 的 功能 ， 与 实际 的 用 户 要 求 无 关 。 因 此 ， 如 果 你 的 proxy 是 单纯 的 
单一 主机 ， 或 者 是 单纯 的 作为 防火 墙 功能 ， 那 么 这 个 port 3130 是 可 以 关闭 的 。 就 因 如 此 ， 所 
以 CentOS 6.x 预 设 将 这 个 设 定 值 批注 不 使 用 嘿 ! 


例题 : 由 于 我 的 Proxy 仅 是 部 简单 的 单一 代理 服务 器 ， 并 没有 架设 成 为 公开 的 邻近 代理 服务 
器 (peer proxy 或 neighbor proxy)， 因 此 想 要 关闭 port 3130 ， 该 如 何 处 理 ? 答 : 旧版 的 
CentOS 5.x 以 前 的 版 本 才 需 要 进行 ， 很 简单 ， 直 接 修改 icp_port 即 可 ! 方法 为 : 

[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/64/66 modified， 将 下 列 数据 从 3139 改 为 9 即 可 


icp_port 0 


[root@www ~]# /etc/init.d/squid restart 


事实 上 ， 如 果 你 的 客户 端 与 proxy 之 间 的 沟通 想 要 使 用 加 密 机 制 的 SSL 功能 ， 以 保障 客户 端 
的 信息 避免 被 窃取 时 ， 那 么 还 有 个 https_port 可 以 取代 http_port ! 不 过 ， 充 其 量 我 们 的 
proxy 并 非 公开 也 仅 是 架设 在 内 部 区 网 ， 因 此 还 不 需要 使 用 到 这 个 https_port 啦 1! 


。 观察 与 修改 快 取 目录 (cache dir) : 权限 与 SELinux 


从 前 面 的 说 明 我 们 知道 磁盘 高 速 缓存 是 影响 proxy 效能 的 一 个 相当 重要 的 参数 ， 那 么 squid 
是 如 何 将 快 取 存 进 磁盘 的 呢 2 squid 是 将 数据 分 成 一 小 块 一 小 块 9 然后 分 别 放置 到 个 别 的 目 
录 中 。 由 于 较 多 的 目录 可 以 节省 在 同一 个 目录 内 找 好 多 档案 的 时 间 ( 想 一 想 ， 分 门 别 类 的 放置 
书籍 在 不 同 的 书柜 内 ， 总 比 将 所 有 书籍 杂乱 无 章 的 放置 到 一 个 大 书柜 要 好 的 多 吧 |! )， 因 此 ， 
在 默认 的 /var/spool/squid/ 目录 下 ，squid 又 会 将 它 分 成 两 层 子 目录 来 存放 相关 的 快 取 数 据 ， 
所 以 观察 该 目录 就 会 是 : 


[root@www ~]# ls /var/spool/squid 
00 01 02 03 04 05 06 07 08 09 OA OB OC OD OE OF swap.state 
# 算 一 下 ， 你 会 发 现 共有 16 个 子 目 录 ! 那么 我 们 来 看 看 第 一 个 子 目 录 的 内 容 : 


[root@www ~]# ls /var/spool/squid/00 


00 08 10 18 20 28 ... 98 A0 A8 BO B8 co C8 DO D8 EO0 E8 FO F8 

01 09 11 19 21 29...99 AL A9 B1 B9 C1 C9 D1 D9 Ei E9 Fi F9 
ob 

06 QE 16 1E 26 2E ... 9E A6 AE B6 BE C6 CE D6 DE E6 EE F6 FE 

7 QF 17 1F 27 2F ... 9F A7 AF B7 BF C7 CF D7 DF E7 EF F7 FF 


# 看 见 了 吗 ? 总 共有 256 个 子 目录 出 现 嘿 |! 


现在 我 们 知道 了 较 多 的 目录 是 为 了 将 数据 分 门 别 类 放置 ， 但 是 第 一 层 16 个 与 第 二 层 256 个 是 
怎么 来 的 ? 让 我 们 来 瞧 一 瞧 cache_dir 这 个 重要 参数 的 设 定 是 怎样 : 


。 cache dir ufs /var/spool/squid 100 16 256 
在 /Var/spool/squid/ 后 面 的 参数 意义 是 : 


e 第 一 个 100 代表 的 是 磁盘 使 用 量 仅 用 掉 该 文件 系统 的 100MB 
e 第 二 个 16 代表 第 一 层次 目录 共有 16 个 
e。 第 三 个 256 代表 每 层次 目录 内 部 再 分 为 256 个 次 目录 


根据 squid 的 说 法 与 其 他 文献 的 说 明 ， 这 两 层 快 取 目 录 较 佳 的 配置 就 是 16 256 以 及 64 64 这 
两 种 配置 ， 所 以 我 们 也 不 需要 修改 相关 的 数据 啦 ! 重点 时 还 得 要 注意 这 个 目录 的 档案 拥有 者 
与 SELinux 类 型 才 成 哆 ! 


例题 : 看 起 来 预 设 的 proxy 的 磁盘 高 速 缓存 应 该 是 不 够 用 ， 而 之 前 的 磁盘 规划 又 没有 做 好 ， 
因此 /var/ 最 多 还 有 500MB 可 以 让 我 们 做 为 磁盘 高 速 缓存 。 那 么 如 果 想 要 将 预 设 的 磁盘 高 速 
缓存 改 为 500MB 而 且 再 加 上 人 目 予 2GB 的 容量 做 为 磁盘 高 速 缓存 ， 该 如 何 进 
行 设 定 ? 答 : 这 里 都 与 cache_dir 有关 ! 这 个 设 定 值 可 以 重复 出 现 多 次 ! 因此 ， 我 们 可 以 这 样 
进行 的 ， 特 别 注 意 底下 的 目录 权限 与 SELinux 类 型 哆 ! 


[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 20611/04/06 modified， 底 下 的 设 定 除 了 拿 掉 # 之 外 还 得 修改 ! 
cache_dir ufs /var/spool/squid 500 16 256 

cache_dir ufs /srv/squid 2000 16 256 


[root@www ~]# mkdir /srv/squid 

[root@www ~]# chmod 750 /srv/squid 

[root@www ~]# chown squid:squid /srv/squid 

[root@www ~]# chcon --reference /var/spool/squid /srv/squid 

[root@www ~]# 11 -Zd /srv/squid 

drwxr-x---. Squid squid system u:object_r:squid _ cache t:s0 /srv/squid/ 


[root@www ~]# /etc/init.d/squid restart 


之 所 以 要 改 成 squid 拥有 ， 是 因为 上 头 的 squid.conf 中 ， 预 设 的 启动 PID 的 账号 就 是 squid 
这 个 人 物 嘛 ! 所 以 当然 要 变更 ! 至 于 SELinux 的 类 型 方面 ， 参 考 预 设 的 /var/spool/squid 就 能 
够 知道 了 。 不 过 要 注意 ， 某 些 特定 的 目录 (例如 /home) 是 不 允许 建立 快 取 目 录 的 ， 因 此 我 们 
使 用 服务 资料 可 以 放置 的 /srv 作为 测试 范例 嘿 ! 


想 一 想 ， 了 既然 快 取 是 放 在 磁盘 上 面 的 ， 那 么 快 取 的 数据 会 不 会 塞 满 整个 快 取 磁 盘 呢 ? 当然 会 
啊 1 而 且 当 塞 满 磁 瘟 之 后 ， 你 的 proxy 恐怕 就 无 法 继续 运作 了 | 所 以 ， 我 们 当然 得 要 好 好 的 
注意 磁盘 使 用 量 是 否 已 经 饱和 了 。 在 上 述 的 例题 中 ， 若 /var/spool/squid 塞 满 500MB 而 
/srv/squid 塞 满 2GB 那么 你 的 proxy 就 挂 了 。 为 了 避免 这 个 问题 ， 因 此 squid 有 底下 两 个 重 
要 设 定 : 


e cache swap low 90 
。 cache swap_ high 95 


代表 当 磁 盘 使 用 量 达 95% 时 ， 上 比较 旧 的 快 取 数 据 将 会 被 删除 ， 当 删除 到 剩 下 磁盘 使 用 量 达 
90% 时 ， 就 停止 持续 删除 的 动作 。 以 本 案例 中 ， 总 共 2.5GB 的 容量 ， 当 用 到 
2.50.95=2.375G 时 ， 昌 的 数据 会 开始 被 删除 ， 删 到 剩 下 2.50.9=2.25GB 时 ， 就 停止 删除 的 意 
思 。 所 以 会 被 删除 掉 125MB 的 昌 数 据 就 是 了 。 通 常 这 个 设 定 值 已 经 足够 了 ， 不 需要 变动 他 ， 
除了 你 的 快 取 太 大 或 太 小 时 ， 才 会 调整 这 个 设 定 值 。 


。 squid 使 用 的 内 存 计算 方式 


事实 上 ， 除 了 磁盘 容量 之 外 ， 内 存 可 能 是 另 一 个 相当 重要 的 影响 proxy 效能 的 因子 ! 怎么 说 
呢 ? 因为 proxy 会 将 数据 存 一 份 在 磁盘 高 速 缓存 中 ， 但 是 同时 也 会 将 数据 暂 存 在 内 存 当 中 

啊 ， 以 加 快 未 来 使 用 者 存 取 同 一 份 数 据 的 速度 ! 但 是 这 个 内 存 快 取 是 需要 花费 额外 的 服务 器 
物理 内 存 的 量 ， 所 以 就 得 要 以 额外 的 设 定 值 来 指定 嚼 。 那 就 是 cache_mem 这 个 设 定 值 的 功 


能 了 。 


很 多 人 (包括 乌 哥 ) 都 会 误会 cache_mem 的 用 途 ! 其 实 cache_mem 是 额外 的 指定 一 些 内 存 
来 进行 比较 『 热 门 」 的 数据 存 取 ! cache_mem 并 不 是 指 我 要 使 用 多 少 内 存 给 squid 使 用 ， 
而 是 指 "我 还 要 额外 提供 多 少 内 存 给 squid 使 用 " 的 意思 J ! 由 于 预 设 1GB 的 磁盘 高 速 缕 存 会 
占用 约 10M 的 内 存 ， 而 squid 本 身 也 会 占用 约 15MB 的 内 存 ， 因 此 ， 上 个 例题 中 squid 使 用 
掉 的 内 存 就 有 : 


。2.5* 10+ 15+"cache_mem 设 定 值 (8)" 


squid 官方 网 站 建议 你 的 物理 内 存 最 好 是 上 面 数值 的 两 倍 ， 也 就 是 说 ， 上 述 的 内 存 使 用 量 已 经 
是 48MB ， 则 我 的 物理 内 存 最 好 至 少 要 有 100 MB 以 上 ， 才 会 有 比较 好 的 效能 ! 当然 ， 这 个 
单 指 Proxy 部 分 而 已 ， 如 果 你 的 该 部 主机 还 有 负责 其 他 的 工作 ， 呵 呵 ! 那么 内 存 就 得 在 累加 
上 去 啦 ! 一 般 来 说 ， 如 果 你 的 Proxy 很 多 人 使 用 时 ， 这 个 值 越 大 越 好 ， 但 是 最 好 也 要 符合 上 
面 的 需求 喔 ! 
例题 : 由 于 我 的 内 存 够 大 ， 而 proxy 确实 是 我 重要 的 服务 ， 因 此 想 要 增加 额外 的 32MB 作为 
热门 数据 快 取 ， 该 如 何 修改 ? 答 : 直接 做 了 啦 | 就 是 修改 cache_mem 而 已 ! 

[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 20611/04/06 modified， 将 原本 的 8 改 为 32 嘿 ! 

cache_mem 32 MB 


[root@www ~]# /etc/init.d/squid restart 


17.2.3 管控 信任 来 源 (如 区 网 ) 与 目标 (如 恶意 网 站 ) : acl 与 
http_access 的 使 用 


在 上 面 的 基础 设 定 中 ， 其 实 仅 有 proxy 服务 器 本 身 可 以 向 自己 的 proxy 要 求 网 页 代理 一 那 有 
个 屁 用 啊 ? 我 们 的 重点 是 想 要 开放 给 区 网 来 使 用 这 个 proxy 的 嘛 ! 当然 得 要 修改 信任 用 
户 的 管控 参数 哆 。 此 时 ， 那 个 重要 到 不 行 的 ac| 就 得 要 来 瞧 一 瞧 啦 ! 这 个 ac| 的 基本 语法 
为 : 


acl &]t; 自 定义 的 acl 名 称 &gt; &1lt; 要 控制 的 acl 类 型 &gt; &1t; 设 定 的 内 容 &gt， 


由 于 squid 并 不 会 直接 使 用 IP 或 网 域 来 管控 信任 目标 ， 而 是 透 过 acl 名 称 来 管理 ， 这 个 <acl 
名 称 > ee (acl 类 型 ) ， 以 及 实际 的 IP 或 网 域 ( 设 定 的 内 容 ) 
啦 ! 这 个 acl 名 称 可 以 想 成 是 一 个 昵称 就 是 了 。 那 么 有 哪些 重要 的 ac| 类 型 呢 ? 基本 上 有 这 
些 : 


。 管理 是 否 能 使 用 proxy 的 信任 客户 端 方式 : 


由 于 因特网 主要 有 使 用 IP 或 主机 名 来 作为 联机 方式 的 ， 因 此 信任 用 户 的 来 源 至 少 就 有 底下 几 
种 : 


e。 src 人 -address/netmask : 主要 控制 『 来 源 的 IP 地址] 。 举例 来 说 ， 鸟 哥 的 内 网 有 两 
， 分 别 是 192.168.1.0/24 以 及 192.168.100.0/24 ， 那 么 假设 我 想 要 制订 一 个 vbirdlan 
acl 名 称 ， 那 就 可 以 在 配置 文件 内 写成 : acl vbirdlan src 192.168.1.0/24 
192.168.100.0/24 


。 src addr1-addr2/netmask : 主要 控制 『 一 段 范围 来 源 的 IP 地 址 」。 假 设 我 只 想 要 让 
192.168.1.100-192.168.1.200 使 用 这 部 proxy ， 那 么 就 用 : acl vbirdlan2 src 
192.168.1.100-192.168.1.200/24 


。 srcdomain .domain.name : 如 果 来 源 用 户 的 IP 一 直 变 ， 所 以 使 用 的 是 DDNS 的 方式 来 
更 新 主机 名 与 IP 的 对 应 ， 此 时 我 们 可 以 使 用 主机 名 来 开放 |! 例如 来 源 是 .ksu.edu.tw 的 
来 源 用 户 就 开放 使 用 权 ， 那 就 是 : acl| vbirdksu srcdomain .ksu.edu.tw 


。 管理 是 否 让 proxy 帮忙 代理 到 该 目标 去 获取 数据 : 


除了 管理 来 源 用 户 之 外 ， 我 们 还 能 够 管理 是 否 让 proxy 服务 器 到 某 些 目标 去 获取 数据 喔 ! 在 
预 设 的 设 定 中 ， 我 们 的 proxy 仅 管 理 可 以 向 外 取得 port 21, 80, 440... 等 端口 的 目标 网 站 ， 不 
是 这 些 端口 就 无 法 帮忙 代理 取得 。 至 于 IP 或 网 域 则 没有 管理 。 基 本 的 管理 有 这 些 方式 : 


。 dst ip-addr/netmask : 控制 不 能 去 的 目标 网 站 的 IP ， 举 例 来 说 ， 我 们 不 许 proxy 去 捉 取 
120.114.150.21 这 部 主机 的 IP 时 ， 可 以 写成 是 : acl dropip dst 120.114.150.21/32 


。 dstdomain .domain.name : 控制 不 能 去 的 目标 网 站 的 主机 名 。 举 例 来 说 ， 如 果 你 在 上 课 
时 不 允许 学 生 跑 去 种 田 还 是 小 小 战争 ， 那 就 得 要 把 .facebook.com 给 关闭 ! 那 就 需要 写 
成 : acl dropfb dstdomain .facebook.com 


。 Url_regex [-i] ^http:Wurl : 使 用 正规 表示 法 来 处 理 网 址 列 的 一 种 方式 ! 这 种 方式 的 网 址 列 
必须 要 完整 的 输入 正规 表示 法 的 开始 到 结尾 才 行 。 举 例 来 说 ， 昆 山 科 大 的 中 文 网 页 写法 
为 (并 非 部 分 比 对 ， 所 以 最 结尾 的 . 记得 要 加 上 去 | ) : acl ksuurl url_regex 
Ahttp:/Wwww.ksu.edu.tw/cht/. 


。 urlpath_regex [-i] .gif$ : 与 上 一 个 acl 非常 类 似 ， 只 是 上 一 个 需要 填写 完整 的 网 址 数据 ， 
这 里 则 是 根据 网 址 列 的 部 分 比 对 来 处 置 。 以 上 述 的 预 设 案例 来 说 ， 只 要 网 址 列 结尾 是 gif 
(图 片 文件 ) 就 符合 这 个 项 目 了 。 万 一 我 要 找 出 有 问题 的 色情 网 站 ， 有 出 现 /sexy 名 称 并 以 
jpg 结尾 的 ， 就 子 以 抵挡 ， 那 就 是 使 用 : acl sexurl urlpath_regex /sexy.*.jpg$ 


除了 上 述 的 功能 之 外 ， 我 们 还 能 够 使 用 外 部 的 档案 来 提供 相对 应 的 acl 内 容 设 定 值 喔 ! 举例 
来 说 ， 假 设 我 们 想 要 抵挡 的 外 部 主机 名 常常 会 变动 ， 那 么 我 们 可 以 使 用 
/etc/squid/dropdomain.txt 来 设 定 主机 名 ， 然后 透 过 底下 的 方式 来 处 理 


acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 


然后 在 dropdomain.txt 当中 ， 一 行 一 个 待 管理 的 主机 名 ， 这 样 也 能 够 减少 持续 修改 
squid.conf 的 困扰 ! 好 了 1! 了解 了 acl 之 后 ， 接 下 来 得 要 谈 谈 http_access 这 个 实际 放行 或 拒 
绝 的 参数 了 ! 


。 以 http_access 调整 管理 信任 来 源 与 管控 目标 的 『 顺 序 J 


设 定好 acl 之 后 ， 接 下 来 就 是 要 看 看 到 底 要 不 要 放行 喔 ~ 放行 与 否 跟 http_access 这 个 项 目 有 
关 。 基 本 上 ，http_access 就 是 拒绝 (deny) 与 允许 (allow) 两 个 控件 目 ， 然 后 再 加 上 acl 名 称 
就 能 够 达到 这 样 的 功能 了 ! 只 是 你 得 要 特别 注意 的 是 : http_access 后 面 接 的 数据 ， 是 有 顺序 
的 ! 这 个 观念 很 重要 喔 ! 我 们 用 底下 的 案例 来 说 明 好 了 : 


假设 我 要 放行 内 部 网 络 192.168.1.0/24, 192.168.100.0/24 这 两 段 网 域 ， 然 后 拒绝 对 外 的 色情 
相关 图 片 ， 以 及 facebook.com 网 站 ， 那 么 就 应 该 要 这 样 做 : 


[root@www ~]# vim /etc/squid/squid.conf 

# http_access 是 有 顺序 的 ， 因 此 建议 你 找到 底下 这 个 关键 词 行 后 ， 将 你 的 资料 加 在 后 面 
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 
acl vbirdlan src 192.168.1.0/24 192.168.100.0/24 

acl dropdomain dstdomain .facebook.com 

acl dropsex urlpath_regex /sexy.*jpg$ 

http_access deny dropdomain &1t;== 这 三 行 的 『 顺 序 」 很 重要 ! 

http_access deny dropsex 

http_access allow vbirdlan 


[root@www ~]# /etc/init.d/squid restart 


你 得 要 注意 ， 如 果 先 放行 了 vbirdlan 才 抵 挡 dropdomain 时 ， 你 的 人 ! 因为 内 网 
已 经 先 放 行 ， 因此 后 面 的 规则 不 会 缘 对 ， 那 么 facebook.com 就 无 法 被 抵挡 了 ! 这 点 得 要 很 
注意 才 行 ! 通常 的 作法 是 ， 先 将 要 拒绝 的 写 上 去 ， 然 后 才 写 要 放行 的 数据 就 好 了 。 


17.2.4 其 他 额外 的 功能 项 目 


。 不 要 进行 某 些 网 页 的 快 取 动 作 


某 
从 前 面 的 说 明 我 们 知道 Proxy 的 快 取 通 常 在 记录 比较 少 变动 的 数据 ， 如 果 是 讨论 区 或 者 是 程 
控 类 的 数据 库 型 态 网 页 ， 那 么 恐怕 就 没有 快 取 的 需要 ， 因 为 数据 一 直 变 动 嘛 ! 你 总 不 希望 你 
发 了 一 帖 留言 ， 结 果 等 一 下 再 去 浏览 时 ， 看 到 的 还 是 加 留言 吧 ! 所 以 哩 ， 在 预 设 的 情况 下 ， 
squid 已 经 拒绝 某 些 数据 的 快 取 了 ， 那 就 是 底下 的 几 个 设 定 值 : 


acl QUERY urlpath_regex cgi-bin \? 
cache deny QUERY &lt;== 重 点 就 是 这 一 行 ! 可 以 拒绝 ， 不 要 让 后 面 的 URL 被 快 取 1! 


我 们 知道 通常 .php 结尾 的 网 页 大 部 分 就 是 讨论 区 之 类 的 变动 性 数据 ， 那 么 能 不 能 出 现 .php 
结尾 的 网 页 就 不 要 快 取 呢 ? 当然 可 以 啊 | 那 该 如 何 进行 ? 我 们 以 上 面 的 数据 来 照样 造句 一 下 
吧 | 
例题 : 只 要 网 址 列 出 现 .php 结尾 的 ， 就 不 子 以 快 取 |! 答 : 透 过 acl 配合 cache 这 两 个 参数 来 
处 理 即 可 ! 

[root@www ~]# vim /etc/squid/squid.conf 

acl denyphp urlpath_regex \.php$ 

cache deny denyphp 

# 在 此 档案 的 最 后 新 增 这 两 行 即 可 ! 


[root@www ~]# /etc/init.d/squid restart 
。 磁盘 中 快 取 的 存在 时 间 
得 底下 的 设 定 值 吗 ? 这 个 设 定 值 的 参数 是 这 样 设 定 的 : 


# refresh_pattern &lt;regex&gt ; &1t ;最 小 时 间 &gt; &1lLt; 百 分 比 &gt; &lt; 最 大 时 间 &gt; 


refresh_pattern ^ftp: 1440 20% 10080 

refresh_pattern ^Agopher : 1440 0%6 1440 

refresh_pattern -i (/cgi-bin/&#124;\?) 0 QO% 0 

refresh_pattern . 0 20% 4320 

。 regex : 使 用 的 是 正规 表示 法 来 分 析 网 址 列 的 资料 ， 如 上 面 第 一 行 设 定 为 网 址 列 开头 是 ftp 
的 意思 2 


。 最 小 时 间 : 单位 是 分 钟 ， 当 取得 这 个 数据 的 时 间 超 过 这 个 设 定 值 ， 则 该 数据 会 被 判定 为 
日 资 料 。 如 上 面 第 一 行 ， 表 示 当 取得 的 资料 超过 1440 分 钟 时 ， 该 资料 会 被 判定 为 昌 数 
据 ， 若 有 人 尝试 读 取 同样 的 网 址 列 ， 那 么 squid 会 重新 抓 取 该 数据 ， 不 会 使 用 快 取 内 的 


日数 据 。 至 于 第 三 行 ， 则 表示 除了 上 述 的 两 个 开头 数据 外 ， 其 他 的 数据 都 是 被 定义 为 新 
的 ， 因 此 squid 只 会 从 快 取 内 抓 数据 给 客户 端 。 


e@ 百分比 : 这 个 项 目 与 了 最 大 时 间 」 有 关 ， 当 该 资料 被 抓 取 到 快 取 后 ， 经 过 最 大 时 间 的 多 
百分比 时 ， 该 数据 就 会 被 重 抓 。 


e@ 最 大 时 间 : 与 上 一 个 设 定 有 关 ， 就 是 这 个 数据 存在 快 取 内 的 最 长 时 间 。 如 上 面 第 一 行 ， 
最 大 时 间 为 10080 分 钟 ， 但 是 当 超过 此 时 间 的 20% (2016 分 钟 ) 时 ， 这 个 数据 也 会 被 判 
定 为 旧 资 料 。 

例题 : 在 网 址 列 出 现 .vbird. 字样 时 ， 该 数据 为 暂时 使 用 的 ， 因 此 2 小 时 后 就 算 昌 数据 。 而 最 
长 保留 在 快 取 给 她 一 天 的 时 间 ， 且 经 过 50% 的 时 间 后 ， 就 被 判定 为 昌 数 据 吧 | 答 : 


[root@www ~]# vim /etc/squid/squid.conf 


refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin/&#124;\?) 0 QO% 0 
refresh_pattern \.vbird\. 120 50% 1440 
refresh_pattern . 0 20% 4320 


[root@www ~]# /etc/init.d/squid restart 


e@ 主机 名 与 管理 员 的 email 指定 


如 果 你 的 服务 器 主机 名 尚未 决定 ， 因 此 使 用 的 主机 名 在 因特网 上 面 是 找 不 到 对 应 的 IP 的 ( 因 
为 DNS 未 设 定 )， 那 么 在 预 设 的 squid 设 定 中 ， 奴 怕 会 无 法 顺利 的 启动 。 此 时 你 可 以 手动 的 
加 入 一 个 主机 名 ， 就 是 透 过 visible_hostname 来 指定 。 同时， 如 果 客 户 端 使 用 squid 出 现任 
何 错误 时 ， 屏 幕 上 都 会 出 现 管理 员 的 email 让 用 户 可 以 回报 。 现 在 假设 主机 名 为 
www.centos.vbird 且 管 理 员 的 email 为 dmtsai@www.centos.vbird ， 此 时 我 们 可 以 这 样 修 
改 : 


[root@www ~]# vim /etc/squid/squid.conf 
cache_mgr dmtsai@www.centos.vbird &lt; == 管 理 员 的 email 哆 ! 
visible_hostname www.centos.vbird  &1lt;== 直 接 设 定 主机 名 喔 ! 


[root@www ~]# /etc/init.d/squid restart 


17.2.5 安全 性 设 定 : 防火 墙 , SELinux 与 黑 名 单 档案 

。 防火 墙 得 要 放行 tcp 的 port 3128 
现在 我 们 已 经 设 定 了 让 192.168.100.0/24 及 192.168.1.0/24 这 两 段 来 源 使 用 我 们 的 proxy 
server ， 那 么 想当然 尔 ， 防 火 墙 的 设 定 就 得 要 开放 这 两 段 使 用 Por 3128 才 行 啊 ! 不 过 你 得 


要 特别 注意 ， 并 不 是 开放 防火 墙 就 能 使 用 proxy server 的 资源 ， 还 得 要 使 用 acl 配合 
http_access 才 行 哆 ! 注意 注意 上 假设 你 已 经 使 用 了 iptables.rule ， 那 么 修改 的 方法 就 是 这 


样 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT 
# 因为 内 网 192.168.100.0/24 本 来 就 是 全 部 都 接受 放行 的 ! 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


。 SELinux 的 注意 事项 


针对 proxy 来 说 ，CentOS 6.x 倒是 没有 给 予 太 多 的 规则 限制 ， 因 此 似乎 不 太 需 要 修订 规则 。 
不 过 ，SELinux 的 安全 本 文 在 类 型 部 分 得 注意 。 这 包括 配置 文件 (/etc/squid/ 内 的 数据 ) 类 型 
是 squid_conf t 的 样式 ， 而 快 取 目 录 的 类 型 则 是 squid_cache t 的 类 型 ， 且 上 层 类 型 
(/Var/spool/) 应 该 是 要 成 为 var t 之 类 的 才 行 。 修 改 的 方法 就 是 透 过 chcon 来 处 理 即 可 。 


。 建立 黑 名 单 配 置 文件 


我 们 在 17.2.3 小 节 里 面谈 到 ， 可 以 透 过 『 dstdomain .domain.name J 来 抵挡 不 想 联机 的 网 
站 。 不 过 每 次 都 得 使 用 root Ge squid.conf 才 行 。 那 有 没有 办 法 额外 处 理 出 一 个 档 
案 ， 让 想 要 拒绝 联机 的 数据 写 入 ， 这 样 比较 容易 管理 ， 不 需要 一 直 去 修改 squid.conf 嘛 1 有 
没有 办 法 可 以 达成 呢 ? 有 的 ， a 和 特定 档案 来 处 置 即 可 。 看 看 底下 这 个 例题 来 修订 一 下 
PE 


例题 : 和 的 /etc/squid/dropdomain.txt 的 档案 ， 内 容 为 拒绝 联机 的 目标 网 站 。 答 : 我 
们 之 前 设 定 过 相关 的 网 站 ， 处 理 的 方法 是 直接 将 主机 名 写 入 squid.conf 中 ， 现 在 我 们 可 以 这 
样 修订 : 

[root@www ~]# vim /etc/squid/squid.conf 

# 找到 底下 的 数据 ， 就 是 dropdomain 那 行 ， 约 在 629 行 左 右 ， 并 且 修 改 一 下 

acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 


# 注意 一 下 ， 如 果 是 档 名 ， 请 写 绝 对 路 径 ， 且 使 用 双 引 号 或 单 引号 圈 起 来 ! 


[root@www ~]# vim /etc/squid/dropdomain.txt 
.facebook.com 

.yahoo.com 

# 一 行 一 个 domain 名 称 即 可 


[root@www ~]# /etc/init.d/squid reload 


这 个 方法 的 好 处 是 ， 你 可 以 使 用 额外 的 控制 方式 去 修改 人 txt 这 个 档案 的 
内 容 ， 并 且 修 改 完毕 后 再 使 用 reload ev 配置 文件 ， 不 必要 重新 启动 (restart)， 因 为 
reload 的 速度 比较 快速 。 举例 来 说 ， 鸟 可 的 专题 生 就 用 PHP 写 了 一 支 控制 该 档案 的 网 页 接 
口 ， 可 以 让 老师 在 上 课时 直接 透 过 网 页 输入 要 被 控制 的 目标 网 站 ， 这 样 学 生 就 无 法 在 上 课时 
联机 到 外 面 的 某 些 网 站 去 玩 游戏 嚼 ~ 
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17.3 客户 端的 使 用 与 测试 


既然 proxy 是 给 浏览 器 用 的 ， 那 么 自然 在 浏览 器 上 面 就 需要 设 定 一 些 参数 嘿 |! 那么 如 何 设 定 
呢 ? 由 于 不 同 的 浏览 器 在 设 定 Proxy 的 地 方 也 都 不 同 ， 所 以 底下 我 们 介绍 目前 比较 常见 的 两 
款 浏览 器 ， 分 别 是 firefox 以 及 IE 的 设 定 ， 至 于 其 他 的 浏览 器 ， 请 参考 各 浏览 器 的 相关 说 明 
啊 | 


17.3.1 浏览 器 的 设 定 : firefox & IE 


e firefox 5.x 的 设 定 示 意 


要 在 firefox 5.X 上 面 设 定好 proxy 基本 步骤 是 这 样 的 : 首先 打开 firefox 软件 ， 出 现 如 下 的 图 
标 后 ， 点 选 : 『 工 具 」 内 的 『 选 项 ， 示 意 画面 如 下 所 示 : 
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图 17.3-1、 


在 firefox 上 头 设 定 proxy 的 流程 


全 后 在 出 现 的 如 下 画面 中 ， 先 选择 右上 方 的 『 进 阶 项 目 ， 然 后 点 选 『 网 络 4 页面 ， 最 后 再 
选 联机 的 『 设 定 」 按 钮 ， 如 下 图 所 示 ， 依 序 来 动作 : 
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图 17.3-2、 在 
firefox 上 头 设 定 proxy 的 流程 

此 时 就 会 出 现 如 下 图 所 示 的 要 你 输入 代理 服务 器 的 相关 数据 。 请 先 点 选 『 手 动 设 定 」 之 后 才 
能 够 填写 底下 的 方 格 。 填 上 我 们 服务 器 的 IP ( 乌 哥 的 案例 中 ， 使 用 的 是 192.168.1.100 这 一 
部 ) 以 及 堆 口 ， 然 后 鸟 哥 建议 你 也 可 以 名 选 『 所 有 通讯 协议 都 用 此 proxy J 的 项 目 ， 都 设 定 妥 
当 后 ， 才 按 下 确定 。 如 下 图 所 示 的 流程 : 
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图 17.3-3、 在 firefox 上 头 设 
定 proxy 的 流程 


这 样 就 设 定 好 firefox 的 proxy 相关 数据 了 ， 有 够 简单 吧 | 
。 |E 的 设 定 示意 


那么 IE 要 怎么 设 定 呢 ? 也 是 很 简单 啦 ! 首先 ， 打 开 IE 软件 ， 你 会 看 到 如 下 的 示意 图 ， 点 选 
『 工 具 4 内 的 『 因 特 网 选项 」 ， 流程 如 下 所 示 : 
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IE 上 头 设 定 proxy 的 流程 


在 接 下 来 的 窗口 中 ， 点 选 『 联 机 J 的 页 面 


示 : 
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图 17.3-5、 在 IE 上 头 设 定 proxy 


的 流程 


最 后 就 是 要 输入 正确 的 proxy server 的 IP 与 port 的 相关 数据 啊 | 如 下 图 所 示 ， 先 点 选 箭头 1 
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所 指定 的 项 目 ， 然 后 才 外 Ce ee A 器 ) 可 
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图 17.3-6、 在 IE 上头 设 定 proxy 的 流 


接 下 来 让 乌 哥 用 firefox 来 测试 一 下 ， 如 果 你 要 连 的 网 站 是 被 拒绝 的 会 如 何 ? 


17.3.2 测试 proxy 失败 的 画面 


开始 利用 你 的 浏览 器 来 浏览 各 个 网 站 ， 基 本 上 你 都 会 发 现 正确 的 网 站 内 容 。 但 如 果 你 要 连 的 
网 站 是 刚刚 被 拒绝 的 呢 ? 举例 来 说 ， 刚 刚 我 们 有 设 定 拒绝 连 向 .yahoo.com 的 喔 ! 那么 如 果 
你 监 的 输入 网 址 是 tw.yahoo.com， 那 屏幕 上 应 该 是 会 这 样 输出 的 |! 





?) 竺 如 : 欲 连 千 之 揣 址 (URL) 和 拓 法 正确 的 传 回 - Mozilla Firefox 
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ERROR 
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The following error ei while trying to retrieve the URL: 
htt 


‘tw ,yahoo,com 人 3 


欲 连 千 之 多 站 的 存 取 控 制 识 定 目前 禁止 了 您 的 圳 御 要 求 ， 加 宁 元 迪 得 得 到 过 惟 的 讯息 区 不 
正确 ' 请 和 与 提 供 笠 路 服务 的 管理 者 昱 取 。 


Your cache administrator is dmtsal@ ww ,centos,ybird, 


Generated Tue, O02 Aug 2011 06:51;03 GMT by wwwcentos,vbird (squidi3,1,4) 


图 17.3-7、 联 机 被 


proxy 拒绝 时 的 反应 情况 


从 上 图 我 们 可 以 发 现 ， 目 标 网 站 是 tw.yahoo.com， 然 后 产生 问题 的 地 方 在 于 『 存 取 被 拒绝 
(Access Denied) 4 ， 表 示 问 题 的 发 生 在 于 proxy 的 设 定 ， 然 后 系统 还 很 好 心 的 告诉 你 管理 员 
(cache administrator) 的 email ， 让 你 有 问题 可 以 回报 给 他 。 最 后 ， 这 个 信息 是 否 为 新 的 ? 底 
下 还 会 告诉 你 这 个 错误 发 生 的 时 间 点 呢 ! 这 样 有 没有 很 清楚 啊 ? ^^ | proxy 的 错误 不 只 是 这 
些 ， 因 此 ， 当 你 还 有 发 现 无 法 联机 的 网 站 时 ， 请 务必 要 看 看 屏幕 的 输出 信息 才 好 哟 ! 


17.4 服务 器 的 其 他 应 用 设 定 


除了 基本 的 proxy 设 定之 外 ， 如 果 你 还 有 其 他 可 供 利用 的 上 层 代理 服务 器 ， 说 不 定 我 们 就 能 
够 设计 一 下 如 何 进 行 分 流 的 动作 了 ! 此 外 ， 如 果 针 对 信任 用 户 来 说 ， 难道 得 要 一 直 使 用 acl 
直接 指定 用 户 来 源 然 后 再 用 http_access 放行 ?有 没有 认证 功能 啊 ? 这 样 就 不 用 一 直 修 改 设 
定 啊 | 这 些 其 它 的 应 用 设 定 在 这 个 小 节 来 谈 谈 吧 ! 


17.4.1 上 层 Proxy 与 获取 数据 分 流 的 设 定 


能 够 找到 的 上 层 proxy 服务 器 我 们 在 17.1.3 里 面谈 过 了 ， 你 可 以 重新 回去 瞧 瞧 。 不 过 ， 假 设 
你 所 在 的 环境 并 没有 上 层 代 理 服务 器 ， 但 是 你 有 两 部 Linux 主机 放置 在 不 同 的 |SP 环境 下 ， 
这 两 个 ISP 对 某 些 国外 的 带宽 流量 不 同 ， 所 以 你 想 要 根据 这 样 的 情况 来 设计 一 下 获取 WWW 
网 页 的 分 流 时 ， 可 以 怎么 做 ? 我 们 举 个 例子 来 说 好 了 : 


。 hinet.centos.vbird : 这 部 主机 位 于 hinet 这 个 ISP 底下 ， 对 大 陆 (.cn) 的 流量 比较 高 ， 作 
为 上 层 代 理 服 务 器 之 用 ; 

。 Www.centos.vbird : 这 部 主机 位 于 学 术 网 络 (昆山 科大 )， 因 为 对 大 陆 带 宽 被 限制 ， 因 此 浏 
览 速度 相对 较 慢 。 


现在 我 们 规划 hinet.centos.vbird 是 上 层 代 理 服 务 器 ， 因 此 这 部 主机 得 要 开放 
www.centos.vbird 这 部 机 器 的 使 用 权 ， 这 动作 包括 : (1) 利 用 acl srcdomian 等 方式 放行 
www.centos.vbird 的 使 用 权 ; (2) 开 放 www.centos.vbird 的 port 3128 的 防火 墙 过 滤 功 能 。 如 
此 一 来 ， 我 们 这 部 www.centos.vbird 才能 够 使 用 上 层 代理 服务 器 喔 ! 也 就 是 说 ， 这 两 部 主机 
都 要 是 你 能 够 掌握 的 才 行 (至 少 也 要 上 层 ISP 能 够 替 你 开放 使 用 权 啦 ) 。 

那么 www.centos.vbird 要 如 何 设 定 呢 ?基本 上 ， 设 定 上 层 代理 服务 器 与 分 流 的 参数 主要 有 : 
cache_peer, cache_peer_domain, cache_peer access 等， 分 别 说 明 语法 如 下 : 


e cache_peer 的 相关 语法 


cache_peer [上 层 proxy 主 机 名 ] [proxy 角 色 ] [proxy port] [icp port] [额外 参数 ] 


这 个 设 定 值 就 是 在 规范 上 层 代 理 服 务 器 在 哪里 ， 以 及 我 们 想 要 对 这 部 代理 服务 器 如 何 查询 的 
相关 设 定 值 。 


。 上 层 proxy 主机 名 : 例如 本 案例 中 就 是 hinet.centos.vbird 这 一 部 喝 ; 

。 proxy 角色 : 这 部 proxy 是 我 们 的 上 层 (parent) ? 还 是 作为 我 们 邻近 (sibling) 的 协力 运作 
的 proxy ? 因为 我 们 要 利用 上 层 去 提取 数据 ， 因 此 经 常 使 用 的 是 parent 这 个 角色 值 ; 

。 proxy port : 通常 就 是 3128 嘛 ! 

。 icp port : 通常 就 是 3130 嘛 ! 


。 额外 参数 : 针对 这 部 上 层 proxy 我 们 想 要 对 它 进 行 的 查询 数据 的 行为 设 定 。 主 要 有 : 
各 


o proxy-only : 向 上 层 proxy 要 到 的 数据 不 会 快 取 到 本 地 的 proxy 服务 器 内 ， 降 低 本 地 
proxy 负担 ; 
o Wieght=n : : 权重 的 意思 ， 因 为 我 们 可 以 指定 多 部 上 层 Proxy 主机 ， 哪 一 部 最 重要 ? 
就 可 以 利用 这 个 weight 来 设 定 ，n 越 大 表示 这 部 Proxy 越 重 要 
o no-query : 如 果 向 上 层 Proxy 要 求 资 料 时 ， 可 以 不 需要 发 送 icp 封包 ， 以 降低 主机 的 
负担 
o no-digest : 表示 不 向 附近 主机 要 求 建立 digest 纪录 表格 
o no-netdb-exchange : 表示 不 向 附近 的 Proxy 主机 送出 imcp 的 封包 要 求 
。 cache_peer_domain 的 相关 语法 


cache_peer_domain [上 层 proxy 主 机 名 ] [要 求 的 领域 名 ] 


这 个 设 定 值 的 意思 是 说 ， 你 想 要 使 用 这 部 上 层 代 理 服务 器 向 哪个 领域 名 要 求 数据 。 
。 cache peer access 的 相关 语法 


cache_peer_access [上 层 proxy 主 机 名 ] [allow&#124;deny] [acl 名 称 ] 


与 cache peer domain 相当 类 似 ， 只 是 cache _peer domain 直接 规范 了 主机 名 (domain 
name) ， 而 如 果 你 想 要 设计 的 并 非 领 域名 ， 而 是 某 些 特定 的 IP 网 段 时 ， 就 得 要 先 用 acl 设计 
一 个 名 称 后 ， 再 以 这 个 cache_peer access 去 放行 (allow) 或 拒绝 (deny) 读 取 了 。 


根据 上 述 的 语法 说 明 ， 那 么 我 们 想 要 达到 .cn 使 用 hinet.centos.vbird 这 部 服务 器 的 代理 功能 
时 ， 应 该 要 这 样 设计 的 : 

[root@www ~]# vim /etc/squid/squid.conf 

cache_peer hinet.centos.vbird parent 3128 3130 proxy-only no-query no-digest 


cache_peer_domain hinet.centos.vbird .cn 


[root@www ~]# /etc/init.d/squid reload 


如 果 你 还 有 其 它 的 需求 再 利用 acl 规范 了 目标 位 置 后 ， 再 以 cache_peer access 去 放行 吧 | 
如 此 一 来 ， 你 的 proxy server 就 是 一 部 会 主动 的 依据 不 同 的 要 求 向 不 同 的 上 层 服务 器 求 取 数 
据 的 聪明 proxy 史 ! 


17.4.2 Proxy 服务 放 在 NAT 服务 器 上 : 通 透 式 代理 
(Transparent Proxy) 


从 上 面 的 说 法 来 看 ， 我 们 可 以 发 现 proxy 可 以 做 到 类 似 防 火 墙 的 功能 (acl dst, acl dstdomain 
再 配合 http_access 处 理 )， 但 是 ， 我 们 也 知道 浏览 器 得 要 设 定好 proxy 之 后 ， 才 会 丨 的 使 用 
proxy 嘛 ! 那 就 不 就 是 在 要 宝 用 的 防火 墙 吗 ? 只 要 你 的 用 户 知 道 不 要 设 定 proxy 就 可 以 躲 过 

你 的 管控 ， 那 这 部 proxy 防火 墙 有 啥 必用 啊 ? 您 说 是 吧 ? 


那 该 如 何 强制 使 用 者 一 定 要 使 用 你 的 proxy 呢 ? 很 简单 ! 那 就 是 : (1) 在 对 外 的 防火 墙 服务 器 
(NAT) 上 面 安 装 proxy ; (2) 在 proxy 上 头 启动 transparent 功能 ; (3) NAT 服务 器 加 上 一 条 
port 80 转 port 3128 的 规则 ， 如 此 一 来 ， 所 有 往 port 80 的 封包 就 会 被 你 的 NAT 转向 port 
3128 ， 而 你 的 port 3128 就 是 proxy ， 那 大 家 就 得 要 用 你 的 proxy ， 而 且 重 点 是 ， 浏 览 器 不 
需要 进行 任何 设 定 ! 


呵呵 | 也 就 是 说 ， 当 使 用 者 是 经 过 NAT 服务 器 联机 出 去 时 ， 只 要 让 NAT 服务 器 发 现 『 号 ! 你 
是 要 去 扣 WWW 的 资料 对 吧 | 好 ! 那么 这 个 动作 由 Proxy 服务 帮 你 搞定 ! 」 如 此 一 来 ， 使 用 
者 根本 就 不 需要 在 浏览 器 上 面 设 定 Proxy 的 相关 数据 ， 因 为 这 个 动作 是 『 由 NAT 服务 器 自己 
决定 的 ]， 所 以 只 要 在 NAT 服务 器 上 面 设 定 妥 当即 可 ， 使 用 者 不 必 设 定 任何 数据 呢 ! 呵呵 ! 
监 是 不 错 ! 而 且 进 行 的 动作 非常 简单 ! 


# 1\， 设 定 proxy 成 为 通 透 式 代理 服务 器 的 功能 ! 
[root@www ~]# vim /etc/squid/squid.conf 
http_port 3128 transparent 

# 找到 3128 这 行 后 ， 在 最 后 面 加 上 transparent 即 可 


[root@www ~]# /etc/init.d/squid reload 


接 下 来 ， 将 来 自 192.168.100.0/24 这 个 内 网 的 来 源 ， 只 要 是 要 求 port 80 的 ， 就 将 它 重新 导 
向 port 3128 的 方式 为 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -t nat -A PREROUTING -i $INIF -s 192.168.100.0/24 -p tcp \ 
--dport 80 -j REDIRECT --to-ports 3128 

# 将 上 述 这 一 行 加 在 最 底下 /etc/init.d/iptables save 的 上 面 一 行 即 可 ! 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 就 结束 啦 ! 很 简单 吧 ! 通常 这 样 的 环境 相当 适合 学 校内 的 教室 或 者 是 计 中 的 环境 ， 因 为 
这 样 学 校内 部 根本 不 需要 请 学 生 设 定 浏览 器 的 proxy 功能 ， 立 刻 就 能 够 达到 我 们 所 需要 的 管 
空 能 力 ! 很 棒 吧 ! 不 过 ， 虽 然 这 样 的 功能 已 经 很 棒 了 ， 但 是 鸟 哥 实际 用 在 学 校 教室 环境 中 却 
发 现 了 一 些 问题 ， 那 就 是 很 多 同学 同时 上 传 同一 个 档案 到 外 部 服务 器 去 ， 因 为 proxy 快 取 的 
功能 ， 结 果 让 学 生 一 直 取 得 旧 的 档案 ， 对 于 教 网 页 制作 的 老师 来 说 ， 很 困扰 一 因为 教学 过 程 
中 常常 需要 上 传 最 新 的 网 页 嘛 ! 但 是 proxy 快 取 住 ， 所 以 却 得 到 错误 的 数据 了 ~- 那 怎 办 ? 


A 


。 仅 具 有 proxy 无 快 取 功 能 的 代理 


既然 我 们 这 个 transparent proxy 的 目的 仅 是 在 进行 控 管 ， 并 不 要 去 处 理 快 取 的 任务 (因为 带 
宽 假设 是 够 的 )， 那 么 干脆 就 不 要 快 取 啦 ! 这 样 不 就 OK 啦 ? 好 吧 ! 那 我 们 就 来 搭配 
transparent 进行 这 个 设 定 看 看 。 假设 transparent proxy 已 经 设 定 受 当 ， 那 么 接 下 来 就 是 让 


你 的 快 取 目 录 空 空 如 也 ， 且 再 也 不 写 入 任何 资料 。 此 外 ， 也 不 要 有 多 余 的 内 存 来 记录 热门 档 
案 啦 | 


# 先 关闭 squid ， 然 后 删除 快 取 目 录 ， 之 后 再 重建 快 取 目 录 ， 此 时 快 取 目 录 就 空 了 
[root@www ~]# /etc/init.d/squid stop 

[root@www ~]# rm -rf /var/spool/squid/* 

[root@www ~]# vim /etc/squid/squid.conf 

cache_dir ufs /var/spool/squid 100 16 256 &lt;u&gt;read-only&lt;/ug8gt; 
#cache_dir ufs /srv/squid 2000 16 256 

# 额外 的 那个 /srv/squid 批注 掉 ， 然 后 第 一 行 多 个 read-only 字样 ! 

cache_mem © MB 

# 本 来 规范 有 32MB ， 现 在 不 要 了 ! 





[root@www ~]# /etc/init.d/squid start 


如 此 一 来 ， 这 部 proxy 就 再 也 没有 快 取 了 ， 全 部 资料 都 得 要 自己 向 外 头 提取 ! 就 不 会 有 旧 数 
据 重 复出 现 的 问题 ~ 


17.4.3 Proxy 的 认证 设 定 


既然 proxy 有 许多 功用 ， 包 括 分 流 的 功能 ， 很 不 赖 啊 ! 但 是 ， 由 于 网 络 闲 人 越 来 越 多 ， 因 此 
proxy 不 可 以 设计 为 open proxy ! 亦 即 是 不 能 够 开放 所 有 的 人 使 用 你 的 proxy 啤 ! 所 以 ， 一 
般 来 说 ，proxy 只 会 开放 内 部 网 域 的 人 们 来 使 用 而 已 。 问题 是 ， 如 果 我 在 Internet 也 想 要 使 
用 这 部 自己 架设 的 proxy 时 ， 该 如 何 是 好 ? 还 得 要 再 次 的 修改 squid.conf 吗 ? 有 没有 这 么 麻 
烦 ? 


没关系 啦 ! 为 了 这 个 问题 ，squid 官方 软件 已 经 给 予 了 认证 的 设 定 功能 ! 意 即 我 们 可 以 透 过 
认证 来 简单 的 输入 账号 密码 ， 若 通过 验证 ， 就 可 以 立刻 使 用 我 们 的 proxy 了 ! 这 样 就 好 多 
啦 | 那 如 何 达成 呢 ? 其 实 squid 提供 很 多 认证 功能 ， 我 们 需要 的 是 最 简单 的 功能 即 可 。 使 用 
的 是 squid 主动 提供 的 ncsa_auth 认证 模块 ， 这 个 模块 会 利用 apache (WWW 服务 器 ) 提供 
的 帐 密 建 立 指令 (htpasswd) 所 制作 的 密码 文件 作为 验证 依据 。 所 以 ， 我 们 至 少 需 要 检查 有 没 
有 这 两 样 东西 : 


[root@www ~]# rpm -ql squid &#124; grep ncsa 
/usr/lib64/squid/ncsa_auth &1t;== 有 的 ! 就 是 这 个 验证 模块 档案 ! 注意 完整 路 径 
/usr/share/man/man8/ncsa_auth.8.gz 


[root@www ~]# yum install httpd  &lt;==apache 软件 安装 
[root@www ~]# rpm -ql httpd &#124; grep htpasswd 
/usr/bin/htpasswd &1t ;== 就 是 需要 这 个 帐 密 建立 指令 ! 
/usr/share/man/man1i/htpasswd.1.gz 


这 样 的 事前 准备 就 差不多 了 。 让 我 们 来 考虑 一 个 案例 好 了 : 


e。 内 部 网 域 192.168.100.0/24 要 使 用 proxy 的 ， 还 是 不 需要 透 过 验证 ; 

。 外 部 主机 想 要 使 用 proxy (例如 192.168.1.0/24 这 段 ) 才 需 要 验证 ; 

。 使 用 NCSA 的 基本 身份 验证 方式 ， 且 密码 文件 建立 在 /etc/squid/squid_usertxt 
e。 上 述 档 案 仅 有 一 个 用 户 vbird ， 他 的 密码 为 1234 


那 该 如 何 处 理 呢 ? 开始 来 一 步 一 步 进行 吧 : 


# 1\， 先 修改 squid.conf 档案 内 容 

[root@www ~]# vim /etc/squid/squid.conf 

# 1.1 先 设 定 验 证 相关 的 参数 

auth_param basic program /usr/1lib64/squid/ncsa auth /etc/squid/squid user.txt 
auth_param basic children 5 

auth_param basic realm Welcome to VBird's proxy-only web server 

# 非特 殊 字体 为 关键 词 不 可 更 动 ， 第 一 行为 透 过 ncsa_auth 读 取 squid_user.txt 密码 

# 第 二 行为 启动 5 个 程序 (squid 的 子 程序 ) 来 管理 验证 的 需求 ; 

# 第 三 行为 验证 时 ， 显 示 给 用 户 看 的 欢迎 讯息 ， 这 三 行 可 写 在 最 上 面 ! 


# 1.2 然后 是 针对 验证 功能 放行 与 否 的 acl 与 http_access 设 定 

acl vbirdlan src 192.168.100.0/24 &1lt;== 修 改 一 下 ,取消 192.168.1.0/24 
acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 

acl dropsex urlpath_regex /sexy.*jpg$ 

acl squid_user proxy_auth REQUIRED &1t;== 建 立 一 个 需 验 证 的 acl 名 称 
http_access deny dropdomain 

http_access deny dropsex 

http_access allow vbirdlan 

http_access allow squid_user &1t ;== 请 注意 这 样 的 规则 顺序 喔 ! 验证 在 最 后 
# 2\， 建 立 密码 数据 

[root@www ~]# htpasswd -c /etc/squid/squid user.txt vbird 

New password: 

Re-type new password: 


Adding password for user vbird 
# 第 一 次 建立 才 需 要 加 上 -C 的 参数 ， 否 则 不 需要 加 上 -C 喔 ! 


[root@www ~]# cat /etc/squid/squid user.txt 
vbird:vRC9ie/4E21c. &1t;== 这 就 是 用 户 与 密码 哆 | 


[root@www ~]# /etc/init.d/squid restart 


比较 需要 注意 『acl squid_user proxy_auth REQUIREDJ 这 一 串 设 定 ，proxy_auth 是 关键 
词 ， 而 REQUIRED 则 是 指定 任何 在 密码 文件 内 的 用 户 都 能 够 使 用 验证 的 意思 。 如 果 一 切 顺 利 
的 话 ， 那 么 你 的 内 网 依 昌 可 以 使 用 transparent proxy ， 而 外 网 则 需要 输入 账 密 才 能 够 使 用 
proxy server 提供 的 代理 能 力 。 至 于 验证 的 过 程 有 点 像 这 样 : 


加 


Proxy mpoz-DroxyW192.168.1.100:3128 要 求 二 入 帐号 及 密码 ， 该 Proxy 说 : "Welcome to YBird's 


Proxo-only web server" 
使 用 者 名 和 : 三 二 一 一 一 一 一 
密码 : [eeee 二 
取消 





图 17.4-1、 使 用 proxy 需 验 证 的 示意 图 


上 图 中 箭头 1 为 刚刚 你 设 定 的 real 内 容 ， 而 帐 密 则 是 你 用 htpasswd 所 建立 的 数据 啦 ! 另 
外 ， 了 既然 已 经 加 上 了 验证 功能 ， 那 么 你 可 能 得 要 将 防火 墙 开 放 port 3128 对 全 世界 监听 的 过 
滤 才 行 哟 ! 防火 墙 还 是 不 要 忘记 了 | 人 ^ 


事实 上 ，squid 已 经 收集 了 众多 的 登录 文件 分 析 软 件 了 ， 而 且 大 多 是 免费 的 
(http:Wwww.squid-cache.org/Scripts/) ， 你 可 以 依照 自己 的 喜好 来 加 以 安装 与 分 析 你 的 squid 
登录 档 喔 ! 鸟 哥 这 里 仅 介绍 一 套 相 当 强 的 分 析 软 件 ， 那 就 是 sarg。 


Squid Analysis Report Generator (Squid 分 析 报 告 制作 者 )， 他 的 官方 网 站 在 : 
http://sarg.sourceforge.net/sarg.php， 他 的 原理 相当 的 简单 ， 就 是 将 logfile 拿 出 来 ， 然 后 进 
行 一 下 解析 ， 依 据 不 同 的 时 间 、 网 站 、 与 热门 网 站 等 等 来 进行 数据 的 输出 ， 由 于 输出 的 结果 
实在 是 太 详细 了 ! 所 以 ... 呵 呵 ! 如 果 你 是 老板 的 话 ， 用 这 个 软件 会 让 你 『 爱 不 释 手 ] 啊 |! 
为 每 个 人 的 每 个 小 动作 都 会 被 记录 下 来 ， 我 的 天 呐 ! 当 我 第 一 次 看 到 这 个 分 析 的 画面 时 ， 站 
的 给 他 吓 了 老大 一 跳 得 说 ~ 因为 连 每 个 IP 在 『 每 个 小 时 所 连 上 的 每 个 网 站 数据 4 都 有 纪录 一 
一 害怕 了 吧 ~~ 


不 过 ， 有 优点 就 有 缺点 啦 ! 怎么 说 呢 ? 因为 SARG 功能 太 强 大 了 ， 所 以 记录 的 『 数 据 量 」 就 
实在 是 多 了 点 ， 如 果 你 的 Proxy 网 站 属于 那 种 很 大 流量 的 网 站 时 ， 那 么 就 不 要 使 用 『 日报 
表 」， 也 就 是 每 天 产生 一 份 报表 的 那 种 方式 ! 那么 由 于 数据 一 天 可 能 会 有 几 MB 的 数据 ， 一 
两 个 月 还 没有 关系 ， 如 果 记 录 了 几 年 ， 那 么 光 是 这 些 记 录 就 会 花 掉 好 几 GB 的 硬盘 空间 了 ~ 
此 外 ， 也 可 以 使 用 『 和 覆盖 上 昌 有 数据 」 的 方式 不 要 留存 昌 数 据 ， 这 样 也 可 以 节省 硬盘 的 空间 

啦 | 


在 SARG 的 官网 上 面 已 经 有 朋友 替 大 家 将 RPM 的 档案 制作 出 来 了 ， 你 可 以 参 
考 : http://packages.sw.be/sarg/ 网 站 内 的 档案 。 由 于 乌 哥 用 的 是 CentOS 6.x 64 位 版 本 ， 但 
截至 本 日 为 止 (2011/08) 这 个 网 站 尚未 释 出 稳定 的 CentOS 6 版 本 ， 因 此 乌 哥 下 载 的 是 sarg- 
2.2.3.1-1.el5.rf.x86 64.rpm 这 个 版 本 。 你 可 以 使 用 wget 下 载 到 /root 底下 ， 再 用 rpm -ivh 去 
安装 起 来 即 可 。 这 个 软件 默认 会 将 var/www/sarg 作为 输出 报表 的 目标 ， 而 且 你 必须 要 安装 
与 启动 WWW 服务 器 ， 至 于 网 址 列 则 是 : hittp://your.hostname/sarg 去 查阅 。 底 下 让 我 们 来 
处 理 sarg 的 配置 文件 吧 | 

[root@www ~]# yum install gd 


[root@www ~]# rpm -ivh sarg-2.2.3.1-1.el5.rf.x86_64.rpm 
[root@www ~]# vim /etc/sarg/sarg.conf 


title "Squid 使 用 者 存 取 报 告 " &lt;== 第 49 行 左右 
font_size 12px &1lt;== 第 69 行 左右 
charset UTF-8 &1lt;== 第 353 行 左右 


# 1\， 一 口气 制作 所 有 登录 文件 内 的 数据 报表 
[root@www ~]# sarg 
SARG: Records in file: 2285，reading: 100.00% &1t;== 列 出 分 析 信 息 


# 2\， 制 作 8 月 2 日 的 报表 

[root@www ~]# sarg -d 02/08/2011 

# 这 两 个 范例 ， 都 会 将 数据 丢 到 /var/www/sarg/ONE-SHOT/ 底下 去 ; 
# 3\， 制作 昨天 的 报表 


[root@www ~]# sh /etc/cron.daily/sarg 
# 这 个 范例 则 是 将 每 天 的 数据 放置 于 /var/www/sarg/daily/ 底下 去 ! 


如 果 制 作 好 相关 数据 ， 由 于 sarg 这 个 RPM 档案 已 经 帮 有 我 们 设 定好 了 每 日 、 每 周 、 每 月 进行 
一 次 执行 ， 所 以 你 可 以 不 用 管 怎么 执行 哮 ! 非常 的 方便 ! 如 果 想 要 查阅 数据 ， 只 要 在 proxy 
server 端 输入 http://your.hostname/sarg 会 看 到 如 下 画面 : 
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Squid User’s Access Report =- Mozilla Firefox 


档案 (E) 编辑 (E) 检视 (V) 愿 史 (S) 韦 狠 (B) 工具 (I) 说 明 (H) 
4 -0 全 emocanoaag 7] 加 [50 


图 最 常 浏览 ” |@Centos 从 Support 





赎 Squid Users Access Report 中 ] ba 
9 Squid User's Access Report 
DIRECTORY DESCRIPTION 
ODNE-SHOT One shot reports 
daily Daily reports 
3 这 宣 weekly Weekly reports 
monthly Monthly reports 
2 图 17.4-2、 
sarg 报表 观察 示意 图 


如 上 所 示 ， 在 网 址 列 输 入 服务 器 本 机 的 吹 吹 ， 然 后 会 看 到 几 个 连结 。 与 我 们 有 关 的 是 ONE- 
SHOT 以 及 daily 两 个 ， 我 们 来 瞧 瞧 ONE-SHOT (箭头 2 所 指 ) 里 面 有 啥 吹 吹 ? 了 按 下 去 会 看 到 
下 图 : 


"0 Squid Analysis Report Generator 
< 





Squ 记 使用 者 存 取 报 告 


CREATION DATE | ESERS| BYTES| AVERAGE| 
有 201]; 五 4 月 8 17:4105 CST 2011| | 74y| 174y| 
201Apr07~20l1Apro8| 五 4 月 8 17:4022 CST 2 二 208 刘 69ay| 


Generated by sarg—223.] Jan-02-200? on Apr/08/201l 17:41 图 17.4 3 sarg 报表 观察 二 
.4- 个 





意图 


如 上 图 所 示 ， 因 为 我 们 刚刚 测试 执行 过 两 次 sarg 的 指令 ， 所 以 这 里 会 有 两 个 时 间 的 连结 。 我 
们 先 看 看 总 和 数据 ， 亦 即 图 中 箭头 所 指 的 地 方 ， 会 出 现下 图 的 说 明 : 
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Topsites 
Sites & Users 
Denied 


Authentication Failures 


Nox] |usERID NNECT| BYTES | %BYTES| IN-CACHE-OUT| ELAPSED TIME|MILISEC| %TIME| 
ih Wo elienteentosvbird| 174| 109sy| s2sr oot| 9999%| coia0| T0297| 10199| 
Wh Ww| ,sir | 883| a9ry| 2390%| oo0r™| 9as| oo0220| 140387| 203s4| 
_ a| th W| 192168110: | ao 490y| 23sa%| oms| 920| com:sg| 479218| sase 
TOTAL | 2.33k| 20.834| _0.19%| 99.81%| 00:11:29| 689.902| 
AVERAGE | 779| 6.94x| 00:03:49| 229.967| 


Generated by sarg-2231 Jan-02-2007 on Apr/08/2011 17:40 
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图 17.4-4、 


在 该 段 时 间 内 ， 共 有 三 个 用 户 在 存 取 ， 我 们 来 瞧 瞧 client.centos.vbird 到 底 干 了 啥 事 吧 ! 


Squid 使 用 者 存 取 报告 
Period: 2011N\ 2011N 
User client.centos.vbird 
Sort: BYTES, reverse 


ACCESSED SITE | conNEcT | BYTES | %BYTES | IN-CACHE-OUT| ELAPSED TIME|MILISEC |%TIME | 

WB | satebronsing cache googlecon | 96| iosay| oaamy| ooos| 10000%| oo | 3i.445| 447ad| 
WB | wikicentosors | 22| ir2ak| 1s7s| ooos| iooooa| oow0ns| 15328| 21.80%| 
| wwwcentosors | 17|16989k| 1sss| ooos| ioooos| oooti5| _ 15817| 22.0%| 
WW | safebronsing clients .googlecon| 6| i898k| oi7™%| ooos| ioocon| oo0o00| 2850| 037s| 
四 | i92168100254 | 6| 1420k| 013%] ooos| iooooa| oo0| 8s| os 
WB | centostteokr | 4| i016k| opes| ooos| ioooos| ovowe| 2222| a164| 
WB | frpdaumner | 4| rek| ooes| ooo%| iooooa| oo 738| 1054| 
|dicvbirdtn | 10| T2sk| oors| 2198%| 7&oss| oo0ow2| 230s| a28s| 
WB | ftpisuedutn | 3| sotk| ooss| oo0| ioooos| oooocoo| s0| oors| 
WB | datanicetosting cokr | 2| soc8k| opss| oo0%| ioooou| oooo| 37| oser| 
WB | centosnirroredretnorks.con | a 400k| oods| _oo00| i0000%| oo 加 omrs 
el creativecomnmons.org 一 一 一 一 一 1| ia8k| oow%| oo0| 10000% coo0s| coo0w00| ?os| 100| 
174| 10.95| 52.57%| 0.01%| 99.99%| 00:01:10| 70. | 10.19%| 

AVERAGE 一 一 一 一 一 779| 6.94y| 00:03:49 | 229.967 | 33.33%| 


Generated by sarg-223l Jan-02-2007 on Apr/08/201 17:40 





Sarg 报表 观察 示意 图 
看 到 没有 ， 这 个 用 户 在 这 段 时 间 进 行 过 的 联机 通通 在 里 面 ! 有 没有 很 清晰 呢 ? 
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图 17.4-5、 


620 


17.5 重点 回顾 


e 代理 服务 器 的 功能 是 在 代理 用 户 向 因特网 要 求 Web page 的 数据 ， 同 时 达成 Web pages 
的 快 取 记 录 ， 以 达到 带宽 节省 的 目的 ; 此 外 ， 还 可 以 额外 的 达成 防火 墙 的 功能 ; 

。 我 们 可 以 透 过 具有 较 大 带宽 的 上 层 代 理 服务 器 来 进行 提取 数据 的 分 流 ; 

。 设 定 Proxy 时 ， 如 果 能 以 带宽 更 大 的 上 层 Proxy 来 帮助 ， 将 有 助 于 Client 端 浏览 速度 的 
提升 ; 

e 以 防火 墙 的 功能 来 说 ，Proxy 使 用 应 用 层 的 方式 来 达成 防火 墙 功能 ， 至 于 iptables 则 是 
更 为 底层 的 TCPI/IP 分 析 的 方式 ; 

。 目前 Unix Like 的 机 器 中 ， 做 为 proxy 功能 的 服务 器 软件 几乎 都 是 使 用 squid ， 而 squid 
仅 需 要 设 定 squid.conf 这 个 配置 文件 即 可 使 用 ; 

。 squid 主要 透 过 ac| 配合 http_access 来 进行 信任 用 户 与 目标 WWW 服务 器 的 控 管 ; 

。 用 http_access 这 个 参数 来 设 定 控 管 行为 时 ，[『 顺 序 」 是 有 影响 的 

。 transparent proxy 的 功能 就 是 可 以 让 client 端 不 需要 设 定 浏览 器 的 proxy 功能 ， 即 可 进 
行 proxy 的 工作 ; 


17.6 本 章 习 题 


e 请 说 明 为 何 Proxy 可 以 提升 网 络 的 WWW 浏览 速度 ? 
。 万 一 squid 发 生 了 问题 ， 请 问 我 该 如 何 找 出 问题 点 ? 

。 请 说 明 Proxy 服务 器 的 功能 为 何 ? 

。 试 说 明 为 何 Proxy 服务 器 可 以 提升 网 域 之 内 的 网 络 安 全 性 ? 


17.7 参考 数据 与 延伸 阅读 


。 squid 官方 网 站 : http://www.squid-cache.org/ 

e squid 说 明文 件 计 划 : http://squid-docs.sourceforge.net/, http://www.deckle.co.za/squid- 
USers-guide/ 

e squid 的 验证 流程 : http:/www.-penguin.idvtw/article/proxy-auth.htm 

e 昌 版 的 一 些 范例 参考 : http://linux.vbird.org/linux_server/0420squid/0420squid_vbird_ex 

。 squid 官网 收集 的 登录 文件 分 析 软 件 : http://www.squid-cache.org/Scripts/ 


2001/??/?? : 第 一 次 完成 日 期 ， 其 实 已 经 忘记 了 ~ 2001/11/09 : 加 入 增加 Proxy 效能 的 方 

法 ， 就 是 使 用 多 颗 硬 盘 做 成 的 数据 储存 方式 ! 2003/04/04 : 完成 大 幅度 的 改写 动作 1 加 入 了 
完整 的 Proxy 说 明 ,与 pwebstats 的 架设 ! 2003/04/11 : 完成 了 另 一 个 末端 分 析 的 强大 软件 
SARG 分 析 套件 ! 2003/09/16 : 微 幅 调 校 一 下 版 面 ! 2004/11/12 : 修订 transparent proxy 的 
设 定 问 题 ，httpd_accel_with_proxy on 2011/03/31 : 将 昌 的 基于 好 老 的 Red Hat 9 的 文章 移 
动 到 此 处 2011/04/08 : 累 死 了 一 这 篇 修改 的 幅度 太 大 了 ! 好 疲倦 ~ 2011/08/02 : 将 基于 
CentOS 5.x 的 版 本 移动 到 此 处 


第 十 八 章 、 网 络 驱动 器 装置 : iSCSI 服务 器 


最 近 更 新 日 期 : 2011/08/02 


如 果 你 的 系统 需要 大 量 的 磁盘 容量 ， 但 是 身边 却 没有 NAS 或 外 接 的 储存 设备 ， 仅 有 个 人 计算 
机 时 ， 那 该 如 何 是 好 ? 此 时 ， 透 过 网 络 的 SCSI 磁盘 (iSCSI) 就 能 够 有 大 大 的 帮助 啦 ! 这 个 
iSCSI 是 将 来 自 网 络 的 数据 念 丨 成 本 机 的 SCSI 设备 ， 因 此 可 以 进行 诸如 LVM 等 方面 的 实 

作 ， 而 不 是 单纯 使 用 服务 器 端 提供 的 文件 系统 而 已 ， 相 当 的 有 帮助 喔 ! 


e 18.1 网 络 文件 系统 还 是 网 络 驱动 器 
o 18.1.1 NAS 与 SAN 
o 18.1.2 iSCSI 界面 
o 18.1.3 各 组 件 相关 性 
。 18.2 iSCSItarget 的 设 定 
o 18.2.1 所 需 软 件 与 软件 结构 
o 18.2.2 target 的 实际 设 定 
。 18.3 iSCSI initiator 的 设 定 
o 18.3.1 所 需 软 件 与 软件 结构 
o 18.3.2 initiator 的 实际 设 定 
o 18.3.3 一 个 测试 范例 
e 18.4 重点 回顾 
e 18.5 本 章 习题 
18.6 参考 数据 与 延伸 阅读 
18.7 针对 本 文 的 建议 : http:Wphorum.vbird.org/viewtopic.php?f=16&t=35503 


18.1 网 络 文件 系统 还 是 网 络 驱动 器 


做 为 服务 器 的 系统 是 需要 储存 设备 的 ， 而 储存 设备 除了 可 以 使 用 系统 内 建 的 磁盘 之 外 ， 

如 果 内 建 的 磁盘 容 pop 而 且 也 没有 额外 的 磁盘 插 槽 (SATA 或 IDE) 可 用 时 ， 那 么 常 

解决 的 方案 就 是 增加 NAS (网 络 附加 储存 服务 器 ) 或 外 接 式 储存 设备 。 再 高 档 一 点 的 系统 ， 可 
能 就 会 用 到 SAN (储存 局 域 网 络 ) 这 个 高 贵 的 玩意 儿 ( 注 1)。 


不 过 ， 不 论 是 哪 一 种 架构 ， 基 本 上 ， 它 们 的 内 部 硬盘 通常 是 以 磁盘 阵列 (RAID) 作为 基础 的 。 
磁盘 阵列 我 们 在 基础 篇 第 三 版 的 第 十 五 章 谈 过 了 ， 这 里 就 不 再 哆 唆 。 这 里 想 要 了 解 的 是 ， 哈 
是 NAS 又 啥 是 SAN ? 这 两 者 有 何不 同 ? 与 本 章 主 题 有 关 的 iSCSI 又 是 哈 呢 ? 底下 就 让 我 们 


来 谈 一 谈 。 


18.1.1 NAS 与 SAN 


由 于 企业 的 数据 量 越 来 越 大 ， 而 且 重 要 性 与 保密 性 越 来 越 高 ， 尤 其 类 似 数 据 库 的 内 容 ， 常 党 

人 
很 重要 了 。 那 么 磁盘 阵列 通常 是 在 哪里 呢 ? 磁盘 阵列 通常 是 (1) 主 机 内 部 有 磁盘 阵列 控制 卡 ， 
可 以 自行 管理 磁盘 阵列 。 不 过 想 要 提供 磁盘 阵列 的 容量 ， 得 要 透 过 额外 的 网 络 服务 才 行 ; (2) 
外 接 式 磁盘 阵列 设备 ， 就 是 单纯 的 磁盘 阵列 设备 ， 必 须 透 过 某 些 接口 链接 到 主机 上 ， 主 机 也 
要 安装 适当 的 驱动 程序 后 ， 才 能 捉 到 这 个 设备 所 提供 的 磁盘 容量 。 


不 过 ， 以 目前 的 信 ee ， 人 ee | RAID 了 ， 常 常 听 到 的 应 该 是 


。 NAS (Network Attached Storage, 网 络 附 加 储存 服务 器 ) 


基本 上 ，NAS 其 实 就 是 一 部 客 制 化 好 的 主机 了 ， 只 要 将 NAS 连接 上 网 络 ， 那 么 在 网 络 上 面 
的 其 他 主机 就 能 够 存 取 NAS 上 头 的 资料 了 。 简 单 的 说 ，NAS 就 是 一 部 file server 鹃 一 不 过 ， 
NAS 由 于 也 是 接 在 网 络 上 面 ， 所 以 ， 如 果 网 络 上 有 某 个 用 户 大 量 存 取 NAS 上 头 的 数据 时 ， 
是 很 容易 造成 网 络 停顿 的 问题 的 ， 这 个 比较 麻烦 点 一 低 阶 的 NAS 通常 会 使 用 Linux 系统 搭配 
软件 磁盘 阵列 来 提供 大 容量 文件 系统 。 不 过 效能 嘛 就 有 待 加 强 啦 |! 此 外 ，NAS 也 通常 支持 
TCP/IP ， 并 会 提供 NFS, SAMBA, FTP 等 常见 的 通讯 协议 来 提供 客户 端 取 得 文件 系统 。 


那 为 什么 不 要 直接 使 用 个 人 计算 机 安装 Linux 再 搭配 相关 的 服务 ， 即 可 提供 NAS 预计 要 提供 
的 大 容量 空间 啦 | 干 嘛 需要 NAS 呢 ? 因为 ， 通 常 NAS 还 会 包括 很 多 组 态 的 接口 ， 通 常 是 利 
用 Web 接口 来 控制 磁盘 阵列 的 设 定 状 况 、 提 供 IP 或 其 他 相关 网 络 设 定 ， 以 及 是 否 提 供 某 些 
特定 的 服务 等 等 。 因 为 具有 较为 亲 和 的 操作 与 控制 接口 ， 对 于 非 IT 的 人 员 来 说 ， 控 管 较为 容 
易 啦 。 这 也 是 NAS 存在 的 目的 。 


不 过 ， 目 前 倒是 有 类 似 FreeNAS 的 软件 开发 项 目 (http://sourceforge. ed 注 
2)， 可 以 让 你 的 Linux PC 变 成 一 部 可 透 过 Web 控 管 的 NAS 哩 ! 不 过 不 是 本 章 的 重点 ， 
趣 的 朋友 可 以 自行 前 往 下 载 与 安装 该 软件 来 玩 玩 ~ 


。 SAN (Storage Area Networks, 储存 局 域 网 络 ) 


从 上 面 的 说 明 来 看 ， 其 实 那 个 NAS 就 是 一 部 可 以 提供 大 容量 文件 系统 的 主机 嘛 |! 那 我 们 知道 
单 部 主机 能 够 提供 的 插 楼 再 怎么 说 也 是 有 限 的 ! 所 以 并 不 能 无 限制 的 安插 磁盘 在 同一 部 实体 
主机 上 面 。 但 是 如 果 偏 偏 你 就 是 有 大 量 磁盘 使 用 的 需求 ， 那 时 该 如 何 是 好 ?这 时 就 得 要 使 用 
到 SAN 这 玩意 儿 啦 1 


最 简单 的 看 法 ， 就 是 将 SAN 视 为 一 个 外 接 式 的 储存 设备 。 只 是 单纯 的 外 接 式 储存 设备 仅 能 透 
过 某 些 接口 (如 SCSI 或 eSATA) 提供 单一 部 主机 使 用 ， 而 SAN 却 可 以 透 过 某 些 特殊 的 接口 
或 信道 来 提供 局 域 网 络 内 的 所 有 机 器 进行 磁盘 存 取 。 要 注意 喔 ，SAN 是 提供 『 磁 瘟 (block 
device)J 给 主机 用 ， 而 不 是 像 NAS 提供 的 是 『 网 络 协议 的 文件 系统 (NFS, SMB...)4 ! 这 两 
者 的 差异 挺 大 的 喔 ! 因此， 挂 载 使 用 SAN 的 主机 会 多 出 一 个 大 磁盘 ， 并 可 针对 SAN 提供 的 
磁盘 进行 分 割 与 格式 化 等 动作 。 想 想 看 ， 你 能 对 NAS 提供 的 文件 系统 格式 化 吗 ? 不 行 吧 ! 这 
样 了 解 差异 否 ? 


另外 ， 既 然 SAN 可 以 提供 磁盘 ， 而 NAS 则 是 提供 相关 的 网 络 文件 系统 ， 那 么 NAS 能 不 能 透 
过 网 络 去 使 用 SAN 所 提供 的 磁盘 呢 ? 答案 当然 是 可 以 啊 | 因为 SAN 最 大 的 目的 就 是 在 提供 
磁盘 给 服务 器 ee , NAS 也 是 一 部 完整 的 服务 器 ， 所 以 NAS 当然 可 以 使 用 SAN 啦 ! 同 
时 其 他 的 网 络 服务 器 也 能 够 使 用 这 个 SAN 来 进行 数据 存 取 。 


此 外 ， 既 然 SAN 开发 的 目的 是 要 提供 大 量 的 磁盘 给 用 户 ， 那 么 传输 的 速度 当然 是 非常 重要 
的 。 因 此 ， 早 期 的 SAN 大 多 ede (Fibre Channel) 来 提供 高 速 的 数据 传输 。 目 前 标 
准 的 光纤 信道 是 速度 是 2GB ， 未 来 还 可 能 到 达 10GB 以 上 呢 一 不 过 ， 使 用 光纤 等 技术 较 高 的 
设备 ， 当 然 就 比较 贵 一 些 。 


拜 以 太 网 络 盛行 ， 加 上 技术 成 熟 之 网， 现今 的 以 太 网 络 媒体 (网 络 卡 、 交 换 器 、 路 由 器 等 等 
备 ) 已 经 可 以 达到 GB 的 速度 了 ， 离 SAN 的 光纤 信道 速度 其 实 差异 已 经 缩小 很 多 啦 一 那么 

否 我 们 可 以 透 过 这 个 GB 的 以 太 网 络 接口 来 连接 到 SAN 的 设备 呢 ? 这 就 是 我 们 接 下 来 要 提 到 
的 iSCSI 架构 啦 ! ^ ^ 


18.1.2 iSCSI 芥 面 


早期 的 企业 使 用 的 服务 器 若 有 大 容量 磁盘 的 需求 时 ， 通 常 是 透 过 SCSI 来 串 接 SCS| 磁盘 ， 因 
此 服务 器 上 面 必须 要 加 装 SCS|I 适 配 卡 ， 而 且 这 个 SCS| 是 专属 于 该 服务 器 的 。 后 来 这 个 外 接 
式 的 SCSI 设备 被 上 述 提 到 的 SAN 的 架构 所 取代 ， 在 SAN 的 标准 架构 下 ， 虽 然 有 很 多 的 服 
务 器 可 以 对 同一 个 SAN 进行 存 取 的 动作 ， 不 过 为 了 速度 需求 ， 通 常 使 用 的 是 光纤 信道 。 但 是 
光纤 信道 就 是 贵 嘛 ! 不 但 设备 贵 ， 服 务 器 上 面 也 要 有 光纤 接口 ， 很 麻烦 一 所 以 光纤 的 SAN 在 
中 小 企业 很 难 普及 啊 ~- 


后 来 网 络 实在 太 普 及 ， 尤 其 是 以 IP 封包 为 基础 的 LAN 技术 已 经 很 成 熟 ， 再 加 上 以 太 网 络 的 
速度 越 来 越 快 ， 所 以 就 有 厂商 将 SAN 的 连接 方式 改 为 利用 IP 技术 来 处 理 。 然 后 再 透 过 一 些 
标准 的 订 定 ， 最 后 就 得 到 Internet SCSI (iSCSI) 这 玩意 的 产生 啦 1 iSCSI 主要 是 透 过 TCP/IP 
的 技术 ， 将 储存 设备 端 透 过 iSCSI target (iSCSI 目标 ) 功能 ， 做 成 可 以 提供 磁盘 的 服务 器 端 

再 透 过 iSCSI initiator (iSCSI 初始 化 用 户 ) 功能 ， 做 成 能 够 挂 载 使 用 iSCSI target 的 客户 端 ， 
如 此 便 能 透 过 iSCSI 协议 来 进行 磁盘 的 应 用 了 ( 注 3) 。 


也 就 是 说 ，iSCSI 过 个 架构 主要 将 储存 装置 与 使 用 的 主机 分 为 两 个 部 分 ， 分 别 是 : 


。 iSCSI target : 就 是 储存 设备 端 ， 存放 磁盘 或 RAID 的 设备 ， 目 前 也 能 够 将 Linux 主机 仿 
和 成 iSCSItarget 了 |! 目的 在 提供 其 他 主机 使 用 的 『 磁 盘 〗 ; 


。 iSCSI initiator : 就 是 能 够 使 用 target 的 客户 端 ， 通常 是 服务 器 。 也 就 是 说 ， 想 要 连接 到 
iSCSI target 的 服务 器 ， 也 必须 要 安装 iSCSI initiator 的 相关 功能 后 才能 够 使 用 iSCSI 
target 提供 的 磁盘 就 是 了 。 


如 下 图 所 示 ，iSCSI 是 在 TCP/IP 上 面 所 开发 出 来 的 一 套 应 用 ， 所 以 得 要 有 网 络 才 行 啊 ! 


iISCSI tarvet iSCSI initiator 


iSCSI 驱动 程序 iSCSI 驱 动 程序 





图 18.1-1、iSCSI 与 


TCP/IP 相关 性 


18.1.3 各 组 件 相 关 性 


由 上 面 的 说 明 中 ， 我 们 可 以 知道 一 部 服务 器 如 何 取得 磁盘 或 者 是 文件 系统 来 利用 呢 ? 基本 上 
就 是 : 


。 直接 存 取 (direct-attached storage) : 例如 本 机 上 面 的 磁盘 ， 就 是 直接 存 取 设 备 ; 
。 透 过 储存 局 域 网 络 (SAN) : 来 自 区 网 内 的 其 他 储存 设备 提供 的 磁盘 ; 
。 网 络 文件 系统 (NAS) : 来 自 NAS 提供 的 文件 系统 ， 只 能 立即 使 用 ， 不 可 进行 格式 化 。 


三 个 东西 与 服务 器 主机 能 用 的 文件 系统 之 间 可 以 用 维基 百科 的 图 示 来 展示 : 


APPLICATION SOFTWARE 


FILE SYSTIEM 


FILE SYSIEM 





18.1-2、 服 务 器 取得 文件 系统 的 三 个 来 源 (数据 源 为 注 1) 


从 上 图 中 ， 我 们 可 以 发 现在 一 般 的 主机 环境 下 ， 磁 盘 装 置 (SATA, SAS, FC) 可 以 透 过 主机 的 
接口 (DAS) 来 直接 进行 文件 系统 的 建立 (mkfs 进行 格式 化 )， 如 果 想 要 使 用 外 部 的 磁盘 ， 那 可 
以 透 过 SAN (内 含 多 个 磁盘 的 设备 )， 然 后 透 过 iSCSI 等 接口 来 联机 ， 当然 ， 还 是 得 要 进行 格 
式 化 等 动作 (假设 这 个 SAN 尚未 被 使 用 时 )。 最 后 ， 如 果 是 NAS 的 条 件 下 ， 那 么 NAS 必须 要 
先 透 过 自己 的 操作 系统 将 磁盘 装置 进行 文件 系统 的 建立 后 ， 再 以 NFS/CIFS 等 方式 来 提供 其 
他 主机 挂 载 使 用 。 


接 下 来 ， 网 络 服务 器 、 客 户 端 系统 、NAS 与 SAN 的 角色 在 区 网 里 面 又 是 如 何 呢 ? 我 们 依旧 
使 用 维基 百科 的 图 示 来 说 明 一 下 (DAS 是 每 部 主机 内 部 的 磁盘 ， 即 底下 图 标 中 的 圆柱 体 ) : 


Ethernet 


FC 
Ethernet 





18.1-3、 各 组 件 之 间 的 相关 性 (数据 源 为 注 1) 


NAS 可 以 使 用 自己 的 磁盘 ， 也 能 够 透 过 光纤 或 以 太 网 络 取得 SAN 所 提供 的 磁盘 来 制作 成 为 
网 络 文件 系统 ， 提 供 其 他 人 的 使 用 。 Server 可 以 透 过 NFS/CIFS 等 方式 取得 NAS 的 文件 系 
统 ， 当 然 也 能 够 直接 存 取 SAN 的 磁盘 。 客 户 端 主要 则 是 透 过 网 络 文件 系统 ， 并 且 直 接 使 用 
Server 提供 的 网 络 资源 (如 FTP, WWW, mail 等 等 )。 


18.2 iSCSI target 的 设 定 
能 够 完成 iSCSI target/initiator 设 定 的 项 目 非 常 多 ( 注 4)， 鸟 哥 找 的 到 的 就 有 底下 这 几 个 : 


。 Linux SCSl target framework (tgt) : http://stgt.sourceforge.net/ 
e Linux-iSCSI Project : http://linux-iscsi.sourceforge.net/ 
。 Open-iSCSI : http:/www.open-iscsi.org/ 


由 于 被 我 们 CentOS 6.x 官方 直接 使 用 的 是 tgt 这 个 软件 ， 因 此 底下 我 们 会 使 用 tgt 来 介绍 整 
个 iSCSI target 的 设 定 喔 ! 


18.2.1 所 壳 软 件 与 软件 结构 


CentOS 将 tgt 的 软件 名 称 定义 为 scsi-target-utils ， 因 此 你 得 要 使 用 yum 去 安装 他 才 行 。 至 
于 用 来 作为 initiator 的 软件 则 是 使 用 linux-iscsi 的 项 目 ， 该 项 目 所 提供 的 软件 名 称 则 为 iscsi- 
initiator-utils 。 所 以 ， 总 的 来 说 ， 你 需要 的 软件 有 : 


。 scsi-target-utils : 用 来 将 Linux 系统 仿 丨 成 为 iSCSI target 的 功能 ; 
。 iscsi-initiator-utils : 挂 载 来 自 target 的 磁盘 到 Linux 本 机 上 。 


那么 scsi-target-utils 主要 提供 哪些 档案 呢 ? 基本 上 有 底下 几 个 比较 重要 需要 注意 的 : 


。 /etc/tgt/targets.conf : 主要 配置 文件 ， 设 定 要 分 享 的 磁盘 格式 与 哪 几 颗 ; 

e。 /usr/sbin/tgt-admin : 在 线 查 询 、 删 除 target 等 功能 的 设 定 工具 ; 

。 /usrsbin/tgt-setup-lun : 建立 target 以 及 设 定 分 享 的 磁盘 与 可 使 用 的 客户 端 等 工具 软件 。 
。 /usr/sbin/tgtadm : 手动 直接 管理 的 管理 员工 具 (可 使 用 配置 文件 取代 ) ; 

e。 /usr/sbin/tgtd : 主要 提供 iSCSI target 服务 的 主 程序 ; 

e。 /usr/sbin/tgtimg : 建 置 预计 分 享 的 映像 文件 装置 的 工具 (以 映像 文件 仿 丨 磁盘); 


其 实 CentOS 已 经 将 很 多 功能 都 设 定好 了 ， 因 此 我 们 只 要 修订 配置 文件 ， 然 后 启动 tgtd 这 个 
服务 就 可 以 哩 ! 接 下 来 ， 就 让 我 们 实际 来 玩 一 玩 iSCSI target 的 设 定 吧 | 


18.2.2 target 的 实际 设 定 
从 上 面 的 分 析 来 看 ，iSCSI1 就 是 透 过 一 个 网 络 接口 ， 将 既 有 的 磁盘 给 分 享 出 去 就 是 了 。 那 么 有 
哪些 类 型 的 磁盘 可 以 分 享 呢 ? 这 包括 : 

。 使 用 dd 指令 所 建立 的 大 型 档案 可 供 信里 为 磁盘 (无 须 预先 格式 化 ) ; 


e 使 用 单一 分 割 槽 (partition) 分 享 为 磁盘 ; 
e 使 用 单一 完整 的 磁盘 (无 须 预先 分 割 ) ; 


e 使 用 磁盘 阵列 分 享 (其 实 与 单一 磁盘 相同 方式 ) ; 
e 使 用 软件 磁盘 阵列 (software raid) 分 享 成 单一 磁盘 ; 
。 使 用 LVM 的 LV 装置 分 享 为 磁盘 。 


其 实 没 有 那么 复杂 ， 我 们 大 概 知道 可 以 透 过 (1) 大 型 档案 ; Can 蚀 槽 ; (3) 单 一 装置 ( 包 
括 磁盘 、 数 组 、 软 件 磁盘 阵列 、LVM 的 LV 装置 文件 名 等 等 ) 来 进行 分 享 。 在 本 小 节 当 中 ， 我 
们 将 透 过 新 的 分 割 产生 新 的 没有 用 到 的 分 割 模 、LVM 逻辑 滚动 条 、 大 玉生 三 个 吹 吹 来 进 
行 分 享 。 既 然 如 此 ， 那 就 得 要 先 来 搞定 这 些 吹 吹 吧 1 要 注意 喔 ， 等 一 下 我 们 要 分 享 出 去 的 数 
据 ， 最 好 不 要 被 使 用 ， 也 最 好 不 要 开机 就 被 挂 载 (/etc/fstab a 意思 )。 那么 
就 来 玩 玩 看 史 ! 


e@ 建立 所 需要 的 磁盘 装置 
既然 iSCSI 要 分 享 的 是 磁盘 ， 那 么 我 们 得 要 准备 好 啊 ! 目前 预计 准备 的 磁盘 为 : 


。 建立 一 个 名 为 /srv/iscsi/disk1.img 的 500MB 档案 ; 

。 使 用 /dev/sda10 提供 2GB 作为 分 享 (从 第 一 章 到 目前 为 止 的 分 割 数 ) ; 

。 使 用 /dev/server/iscsi01 的 2GB LV 作为 分 享 (再 加 入 5GB /dev/sda11 到 server VG 
中 )。 


实际 处 理 的 方式 如 下 : 


# 1\， 建 立 大 型 档案 : 

[root@www ~]# mkdir /srv/iscsi 

[root@www ~]# dd if=/dev/zero of=/srv/iscsi/diski1.img bs=1M count=500 
[root@www ~]# chcon -Rv -t tgtd var lib t /srv/iscsi/ 

[root@www ~]# ls -lh /srv/iscsi/diski1.img 

-rw-r--r--. 1 root root 500M Aug 2 16:22 /srv/iscsi/disk1.img &1Lt;== 容 量 对 的 ! 


# 2\， 建 立 实际 的 partition 分 割 : 
[root@www ~]# fdisk /dev/sda &lt; 二 方式 自己 处 理 吧 ! 


[root@www ~]# partprobe &1t ;== 某 些 情况 下 得 reboot 喔 ! 
[root@www ~]# fdisk -1 

Device Boot Start End Blocks Id System 
/dev/sda10 2202 2463 2104483+ 83 Linux 
/dev/sda11 2464 3117 5253223+ 8e Linux LVM 


# 只 有 输出 /dev/sda{10,11} 信息 ， 其 他 的 都 省 略 了 。 注 意 看 容量 ， 上 述 容量 单位 KB 


[root@www ~]# swapon -s; mount &#124; grep 'sdal' 
# 自己 测试 一 下 /dev/sda{10,11} 不 能 够 被 使 用 喔 ! 若 有 被 使 用 ， 请 umount 或 swapoff 


# 3\， 建立 LV 装置 

[root@www ~]# pvcreate /dev/sdai11 

[root@www ~]# vgextend server /dev/sdal11 

[root@www ~]# lvcreate -L 2G -n iscsi01 server 

[root@www ~]# lvscan 
ACTIVE '/dev/server/myhome' [6.88 GiB] inherit 
ACTIVE '/dev/server/iscsi01' [2.00 GB] inherit 


。 规划 分 享 的 iSCSI target 档 名 


iSCSI 有 一 套 自己 分 享 target 档 名 的 定义 ， 基 本 上 ， 藉 由 iSCSI 分 享 出 来 的 target 。 
以 iqn 为 开头 ， 意 思 是 : — Qualified Name (iSCSI 合格 名 称 )J 的 意思 ( 注 5)。 那 么 在 
iqn 后 面 要 接 啥 档 名 呢 ? 这 样 的 : 


iqn.yyyy-mm.&lt;reversed domain name&gt; :Identifier 
idqn .年 年 -月 .单位 网 域名 的 反 转 写法 :这 个 分 享 的 target 名 称 


鸟 哥 做 这 个 测试 的 时 间 是 2011 年 8 月 份 ， 然 后 鸟 哥 的 机 器 是 www.centos.vbird ， 反 转 网 域 
写法 为 vbird.centos ， 然后 ， 乌 哥 想 要 的 iSCSIltarget 名 称 是 vbirddisk ， 那 么 就 可 以 这 样 
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e。 iqn.2011-08.vbird.centos:vbirddisk 


另外 ， 就 如 同一 般 外 接 式 储存 装置 (target 名 称 ) 可 以 具有 多 个 磁盘 一 样 ， 我 们 的 target 也 能 
够 拥有 数 个 磁盘 装置 的 。 每 个 在 同一 个 target 上 头 的 磁盘 我 们 可 以 将 它 定义 为 逻辑 单位 编号 
(Logical Unit Number, LUN)。 我 们 的 iSCSI initiator 就 是 跟 target 协调 后 才 取 得 LUN 的 存 取 
权 就 是 了 ( 注 5) 。 在 岛 可 的 这 个 简单 案例 中 ， 最 终 的 结果 ， 我 们 会 有 一 个 target ， 在 这 个 
target 当中 可 以 使 用 三 个 LUN 的 磁盘 。 


e 设 定 tgt 的 配置 文件 /etc/tgt/targets.conf 


接 下 来 我 们 要 开始 来 修改 配置 文件 了 。 基 本 上 ， 配 置 文件 就 是 修改 /etc/tgt/targets.conf 啦 。 


这 个 档案 的 内 容 可 以 改 得 很 简单 ， 最 重要 的 就 是 设 定 前 一 点 规定 的 iqn 名 称 ， 以 及 该 名 称 所 
对 应 的 装置 ， 然 后 再 给 予 一 些 可 能 会 用 到 的 参数 而 已 。 多 说 无 益 ， 让 我 们 实际 来 实 作 看 看 : 


[root@www ~]# vim /etc/tgt/targets.conf 
# 此 档案 的 语法 如 下 : 
&lt;target idqn. 相 关 装 置 的 target 名 称 &gt 
backing-store /你 的 /虚拟 设备 /完整 档 名 -1 
backing-store /你 的 /虚拟 设备 /完整 档 名 -2 
&lt;/target&gt; 
&lt;target iqn.2011-08.vbird.centos:vbirddisk&gt; 
backing-store /srv/iscsi/disk1i.img &lt;==LUN 1 (LUN 的 编号 通常 照 顺序 ) 


backing-store /dev/sdal10 &lt;==LUN 2 
backing-store /dev/server/iscsi01 &lt;==LUN 3 
&lt;/target&gt; 


事实 上 ， 除 了 backing-store 之 外 ， 在 这 个 配置 文件 当中 还 有 一 些 比较 特别 的 参数 可 以 讨论 看 
看 (man tgt-admin) : 


。 backing-store (虚拟 的 装置 ), direct-store (实际 的 装置 ) : 设 定 装置 时 ， 如 果 你 的 整 颗 磁盘 
是 全 部 被 拿 来 当 iSCSI 分 享 之 用 ， 那 么 才能 够 使 用 direct-store 。 不 过 ， 根 据 网 络 上 的 其 
他 文件 ， 似 乎 说 明 这 个 设 定 值 有 点 危险 的 样子 。 所 以 ， 基 本 上 还 是 建议 单纯 使 用 模拟 的 
backing-store 较 佳 。 例 如 乌 哥 的 简单 案例 中 ， 就 通通 使 用 backing-store 而 已 。 


。 initiator-address (用 户 端 地 址 ) : 如 果 你 想 要 限制 能 够 使 用 这 个 target 的 客户 端 来 源 ， 才 
需要 填写 这 个 设 定 值 。 基 本 上 ， 不 用 设 定 它 (代表 所 有 人 都 能 使 用 的 意思 )， 因 为 我 们 后 
来 会 使 用 iptables 来 规范 可 以 联机 的 客户 端 嘛 ! 

。 incominguser (用 户 账号 密码 设 定 ) : 如 果 除 了 来 源 IP 的 限制 之 外 ， 你 还 想 要 让 使 用 者 输 
入 账 密 才 能 使 用 你 的 iSCSI target 的 话 ， 那 么 就 加 用 这 个 设 定 项 目 。 此 设 定 后 面 接 两 个 


参数 ， 分 别 是 账号 与 密码 哆 。 


。 Write-cache [offlon] (是 否 使 用 快 取 ) : 在 预 设 的 情况 下 ，tgtd 会 使 用 快 取 来 增 快 速度 。 不 
过 ， 这 样 可 能 会 有 遗失 数据 的 风险 。 所 以 ， 如 果 你 的 数据 比较 重要 的 话 ， 或 许 不 要 使 用 
快 取 ， 直 接 存 取 装 置 会 比较 妥当 一 些 。 


上 面 的 设 定 值 要 怎么 用 呢 ? 现在 ， 假 设 你 的 环境 中 ， 仅 允许 192.168.100.0/24 这 个 网 段 可 以 
存 取 iSCSItarget， 而 且 存 取 时 需要 帐 密 分 别 为 vbirduser, vbirdpasswd ， 此 外 ， 不 要 使 用 快 
取 ， 那 么 原本 的 配置 文件 之 外 ， 还 得 要 加 上 这 样 的 参数 才 行 (基本 上 ， 使 用 上 述 的 设 定 即 可 ， 
底下 的 设 定 是 多 加 测试 用 的 ， 不 需要 卉 入 你 的 设 定 中 ) 。 


[root@www ~]# vim /etc/tgt/targets.conf 
&lt;target iqn.2011-04.vbird.centos:vbirddisk&gt; 
backing-store /home/iscsi/disk1.img 
backing-store /dev/sda7 
backing-store /dev/server/iscsiQ01 
initiator-address 192.168.100.0/24 
incominguser vbirduser vbirdpasswd 
write-cache off 
&lt;/target&gt; 


e。 启动 1ISCSIl target 以 及 观察 相关 端口 与 磁盘 信息 


再 来 则 是 启动 、 开 机 启动 ， 以 及 观察 ISCSI target 所 启动 的 堆 口 哩 : 


[root@www ~]# /etc/init.d/tgtd start 
[root@www ~]# chkconfig tgtd on 

[root@www ~]# netstat -tlunp &#124; grep tgt 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 © 0.0.0.0:3260 0.0.0.0:* LISTEN 26944/tgtd 
tcp 0 © :::3260 tt LISTEN 26944/tgtd 
# 重点 就 是 那个 3269 TCP 封包 啦 ! 等 一 下 的 防火 墙 务必 要 开放 这 个 堆 口 。 


# 观察 一 下 我 们 target 相关 信息 ， 以 及 提供 的 LUN 数据 内 容 : 
[root@www ~]# tgt-admin --show 
Target 1: iqn.2011-08.vbird.centos:vbirddisk &lLt;== 就 是 我 们 的 target 
System information 
Driver: iscsi 
State: ready 
I_T nexus information: 
LUN information: 


LUN: 0 
Type: controller &1t ;== 这 是 个 控制 器 ， 并 非 可 以 用 的 LUN 吗 ! 
人 
LUN: 1 
Type: disk &1t ;== 第 一 个 LUN， 是 磁盘 (disk) 吗 ! 
SCSI ID: IET 00010001 
SCSI SN: beaf11 
Size: 2155 MB &1t ; == 容量 有 这 么 大 |! 


Online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /dev/sda10 &1lt;== 磁 盘 所 在 的 实际 文件 名 


LUN: 2 
Type: disk 
SCSI ID: IET ©00010002 


SCSI SN: beaf12 

Size: 2147 MB 

online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /dev/server/iscsi01 


LUN: 3 
Type: disk 
SCSI ID: IET ©00010003 


SCSI SN: beaf13 
Size: 524 MB 
Online: Yes 
Removable media: No 
Backing store type: rdwr 
Backing store path: /srv/iscsi/diski1.img 
Account information: 
vbirduser &1t ;== 额 外 的 帐户 信息 
ACL information: 
192.168.100.0/24 &1t;== 额 外 的 来 源 IP 限制 


请 将 上 面 的 信息 对 照 一 下 我 们 的 配置 文件 哟 | 看 看 有 没有 错误 就 是 了 ! 尤其 注意 每 个 LUN 的 
容量 、 实 际 磁盘 路 径 ! 那个 项 目 不 能 错误 就 是 了 。( 照 理 说 LUN 的 数字 应 该 与 backing-store 
设 定 的 顺序 有 关 ， 不 过 ， 在 乌 可 的 测试 中 ， 出 现 的 顺序 并 不 相同 ! 因此 ， 还 是 需要 使 用 tgt- 


admin --show 去 查阅 查阅 才 好 ! ) 


。 设 定 防火 墙 


不 论 你 有 没有 使 用 initiator-address 在 targets.conf 配置 文件 中 ，iSCSI target 就 是 使 用 
TCPIIP 传输 数据 的 ， 所 以 你 还 是 得 要 在 防火 墙 内 设 定 可 以 联机 的 客户 端 才 行 上 既然 iSCSI 仅 


开启 3260 埠 口 ， 那 么 我 们 就 这 么 进行 即 可 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 3260 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save &#124; grep 3260 

-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 3260 -j ACCEPT 
# 最 终 要 看 到 上 述 的 输出 字样 才 是 OK 的 哟 ! 若 有 其 他 用 户 需 要 联机 ， 

# 自行 复制 ijptables.allow 内 的 语法 ， 修 改 来 源 端 即 可 。 


18.3 iSCSI initiator 的 设 定 


谈 完 了 target 的 设 定 ， 并 且 观 察 到 相关 target 的 LUN 数据 后 ， 接 下 来 就 是 要 来 挂 载 使 用 " 罗 。 
使 用 的 方法 很 简单 ， 只 不 过 我 们 得 要 安装 额外 的 软件 来 取得 target 的 LUN 使 用 权 就 是 了 。 


18.3.1 所 壳 软 件 与 软件 结构 


在 前 一 小 节 就 谈 过 了 ， 要 设 定 iSCSI initiator 必须 要 安装 iscsi-initiator-utils 才 行 。 安 装 的 方法 
请 使 用 yum 去 处 理 ， 这 里 不 再 多 讲话 。 那 么 这 个 软件 的 结构 是 如 何 呢 ? 


。 /etc/iscsi/iscsid.conf : 主要 的 配置 文件 ， 用 来 连结 到 iSCSI target 的 设 定 ; 

e。 /sbin/iscsid : 启动 ISCSl initiator 的 主要 服务 程序 ; 

。 /sbin/iscsiadm : 用 来 管理 iSCSI initiator 的 主要 设 定 程序 ; 

。 /etc/init.d/iscsid : 让 本 机 模拟 成 为 iSCSI initiater 的 主要 服务 ; 

e /etc/init.d/iscsi : 在 本 机 成 为 iSCSIinitiator 之 后 ， 局 动 此 脚本 ， 让 我 们 可 以 登入 iSCSI 
target。 所 以 iscsid 先 启 动 后 ， 才 能 启动 这 个 服务 。 为 了 防 呆 ， 所 以 /etc/init.d/iscsi 已 经 
写 了 一 个 启动 指令 ， 启 动 iscsi 前 尚未 启动 iscsid ， 则 会 先 呼叫 iscsid 才 继 续 处 理 iscsi 
喔 1! 


老实 说 ， 因 为 /etc/init.d/iscsi 脚本 已 经 包含 了 启动 /etc/init.d/iscsid 的 步骤 在 里 面 ， 所 以 ， 理 
论 上 ， 你 只 要 启动 iscsi 就 好 啦 ! 此 外 ， 那 个 iscsid.conf 里 面 大 概 只 要 设 定 好 登入 target 时 
的 帐 密 即 可 ， 其 他 的 target 搜寻 、 设 定 、 取 得 的 方法 都 直接 使 用 iscsiadm 这 个 指令 来 完成 。 
由 于 iscsiadm 侦 测 到 的 结果 会 直接 写 入 /var/lib/iscsi/nodes/ 当中 ， 因 此 只 要 启动 
/etc/init.d/iscsi 就 能 够 在 下 次 开机 时 ， 自 动 的 连结 到 正确 的 target 嗓 。 那么 就 让 我 们 来 处 理 处 
理 整个 过 程 吧 ( 注 6) ! 


18.3.2 initiator 的 实际 设 定 
首先 ， 我 们 得 要 知道 target 提供 了 啥 吹 吹 啊 ， 因 此 ， 理 论 上 ， 不 论 是 target 还 是 initiator 都 
应 该 是 要 我 们 管理 的 机 器 才 对 。 而 现在 我 们 知道 target 其 实 有 设 定 账 号 与 密码 的 ， 所 以 底下 
我 们 就 得 要 修改 一 下 iscsid.conf 的 内 容 才 行 。 

e@ 修改 /etc/iscsi/iscsid.conf 内 容 ， 并 启动 iscsi 
这 个 档案 的 修改 很 简单 ， 因 为 里 面 的 参数 大 多 已 经 预 设 做 的 不 错 了 ， 所 以 只 要 填写 target 登 


t 
入 时 所 需要 的 帐 密 即 可 。 修改 的 地 方 有 两 个 ， 一 个 是 侦 测 时 (discovery) 可 能 会 用 到 的 帐 密 ， 
一 个 是 联机 时 (node) 会 用 到 的 帐 密 : 


[root@clientlinux ~]# vim /etc/iscsi/iscsid. con 
node.session.auth.username = vbirduser &1t;== 在 target 时 设 定 的 
node.session.auth.password = vbirdpasswd &1lt; == 约 在 Ge 54 且 休 
discovery.sendtargets.auth.username = vbirduser &1lt; == 约 在 67，68 行 
discovery.sendtargets.auth.password = vbirdpasswd 


[root@clientlinux ~]# chkconfig iscsid on 
[root@clientlinux ~]# chkconfig iscsi on 


由 于 我 们 尚未 与 target 联机 ， 所 以 iscsi 并 无 法 让 我 们 顺利 启动 的 ! 因此 上 面 只 要 dl 
即 可 ， 不 需要 启动 他 。 要 开始 来 侦 测 target 与 写 入 系统 信息 嗓 。 全 部 使 用 iscsiadm 这 个 指令 
就 可 以 完成 所 有 动作 了 。 


。 侦 测 192.168.100.254 这 部 target 的 相关 数据 


虽然 我 们 已 经 知道 target 的 名 字 ， 不 过 ， 这 里 假设 还 不 知道 啦 |! 因为 有 可 能 哪 一 天 你 的 公司 
有 钱 了 ， 会 去 买 实 体 的 iSCSI 数组 嘛 ! 所 以 这 里 还 是 讲 完整 的 侦 测 过 程 好 了 ! 你 可 以 这 样 使 
用 : 


[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p IP:port 
选项 与 参数 : 


-m discovery : 使 用 侦 测 的 方式 进行 iscsiadmin 指令 功能 ; 
-t sendtargets : 透 过 iscsi 的 协议 ， 全 沿 司 面 的 设备 所 拥有 的 target 数据 
-p IP:port : 就 是 那 部 iscsi 设备 的 IP 与 埠 口 ， 不 写 堆 口 预 设 是 3269 虽 ! 


范例 : 侦 测 192.168.100.254 这 部 iSCSI 设备 的 相关 数据 

[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 192.168.100.254 
192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 

# 192.168.100.254:3260,1 :在 此 IP， 端 口上 面 的 target 号 码 ， 本 例 中 为 target1 

# iqn.2011-08.vbird.centos:vbirddisk : 就 是 我 们 的 target 名 称 啊 ! 


[root@clientlinux ~]# 11 -R /var/lib/iscsi/nodes/ 
/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk 


/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,3260,1 
# 上 面 的 特殊 字体 部 分 ， 就 是 我 们 利用 iscsiadm 侦 测 到 的 target 结果 ! 


现在 我 们 知道 了 target 的 名 称 ， 同 时 将 所 有 侦 测 到 的 信息 通通 写 入 到 上 述 
/varllib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,3260,1 目录 内 的 
default 档案 中 ， 若 信息 有 修订 过 的 话 ， 那 你 可 以 到 这 个 档案 内 修改 ， 也 可 以 透 过 iscsiadm 
的 Update 功能 处 理 相关 参数 的 。 


e 开始 进行 联机 iSCSI target 


因为 我 们 的 initiator 可 能 会 连接 多 部 的 target 设备 ， 因 此 ， 我 们 得 先 要 瞧 瞧 目前 系统 上 面 侦 测 
到 的 target 有 几 部 ， 然 后 再 找到 我 们 要 的 那 部 target 人 。 不 过 ， 如 果 你 想 要 
将 所 有 侦 测 到 的 target 全 部 都 登入 的 话 ， 那 么 整个 步骤 可 以 再 简化 


范例 : 根据 前 一 个 步骤 侦 测 到 的 资料 ， 局 动 全 部 的 target 


[root@clientlinux ~]# /etc/init.d/iscsi restart 


正在 停止 ijscsi : 
正在 激活 jscsi: 


范例 : 显示 出 目前 系统 上 面 所 有 的 target 数据 : 
[root@clientlinux ~]# iscsiadm -m node 


[| 
确定 

# 将 系统 里 面 全 部 的 target 通通 以 /var/1ib/iscs/nodes/ 内 的 设 定 登 入 

# 上 面 的 特殊 字体 比较 需要 注意 啦 ! 你 只 要 做 到 这 里 即 可 ， 底 下 的 瞧 瞧 就 好 。 


192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 


选项 与 参数 : 
-m node : 找 出 目前 本 机 上 面 所 有 侦 测 到 的 target 信息 ， 


范例 : 仅 登 入 某 部 target ， 不 要 重新 启动 jscsi 服务 


能 并 未 登 


入 喔 


[root@clientlinux ~]# iscsiadm -m node -T target 名 称 --1ogin 


选项 与 参数 : 


-T _ target 名称 : 0 面 接 的 那 部 target ，target 名 称 可 用 上 个 指令 查 到 | 


--login : 就 是 登入 响 | 


[root@clientlinux ~]# iscsiadm -m node -T iqn.2011-08.vbird.centos:vbirddisk \ 


&gt; --login 


# 这 次 进行 会 出 现 错误 ， 是 因为 我 们 已 经 登入 了 ， 不 可 重复 登入 喔 ! 





接 下 来 呢 ? 呵呵 ! 很 棒 的 是 ， 我 们 要 来 开始 处 理 这 个 


瞧 | 


[root@clientlinux ~]# fdisk -1 


Disk /dev/sda: 8589 MB, 8589934592 bytes &lt;== 


. (中 间 省 略 ) , ，, ， 


Disk /dev/sdc: 2147 MB, 2147483648 bytes 
67 heads, 62 sectors/track, 1009 cylinders 


iSCSI 的 磁盘 了 喔 ! 怎么 处 理 ? 瞧 一 


Units = Cylinders of 4154 * 512 = 2126848 bytes 


Sector Size (logical/physical): 512 bytes / 512 


Disk /dev/sdb: 2154 MB, 2154991104 bytes 
67 heads, 62 sectors/track, 1013 cylinders 


Units = cylinders of 4154 * 512 = 2126848 bytes 


Sector size (logical/physical): 512 bytes / 512 


Disk /dev/sdd: 524 MB, 524288000 bytes 
17 heads, 59 sectors/track, 1020 cylinders 


Units = cylinders of 1003 * 512 = 513536 bytes 
Sector size (logical/physical): 512 bytes / 512 


这 是 原 有 的 那 颗 磁 盘 ， 咯 过 不 看 


bytes 


bytes 


bytes 


你 会 发 现 主机 上 面 多 出 了 三 个 新 的 磁盘 ， 容 量 与 刚刚 在 192.168.100.254 那 部 iSCSItarget 


上 面 分 享 的 LUN 一 样 大 。 那 这 三 颗 磁盘 可 以 怎 


注意 的 ， 就 是 iSCSI target 每 次 都 要 比 iSCSI initiator 


initiator 恐怕 就 会 出 问题 。 


。 更 新 /删除 /新 增 target 数据 的 方法 


么 用 ?你 


想 怎么 用 就 怎么 用 啊 1 只 是 ， 唯 一 要 


这 部 主机 还 要 时 开机， 否则 我 们 的 


如 果 你 的 iSCSI target 可 能 因为 菜 些 原因 被 拿 走 了 ， 或 者 是 已 经 不 存在 于 你 的 区 网 中 ， 或 者 
是 要 送 修了 ~ 这 个 时 候 你 的 iSCSI initiator 总 是 得 要 关闭 吧 ! 但 是 ， 又 不 能 全 部 关 掉 
(/etc/init.d/iscsi stop) ， 因 为 还 有 其 他 的 iSCSI target 在 使 用 。 这 个 时 候 该 如 何 取消 不 要 的 


target 呢 ?很 简单 ! 流程 如 下 : 


[root@clientlinux ~]# iscsiadm -m node -T targetname --logout 

[root@clientlinux ~]# iscsiadm -m node -0 [delete&#124;new&#124;update] -T targetname 
选项 与 参数 : 

--logout :就 是 注销 target， 但 是 并 没有 删除 /var/1ib/iscsi/nodes/ 内 的 数据 

-0 delete : 删除 后 面 接 的 那 部 target 链接 信息 (/var/1ib/iscsi/nodes/*) 

-0 _ update : 更 新 相关 的 信息 

-0 _ new : 增加 一 个 新 的 target 信息 。 


范例 : 关闭 来 自 鸟 哥 的 iSCSI target 的 数据 ， 并 且 移 除 链接 

[root@clientlinux ~]# iscsiadm -m node  ”&lt;== 还 是 先 郁 出 相关 的 target iqn 名 称 
192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 

[root@clientlinux ~]# iscsiadm -m node -T &]lt;u&gt;iqn.2011-08.vbird.centos:vbirddisk&]lt; 
&gt; --logout 

Logging out of session [sid: 1, target: iqn.2011-08.vbird.centos:vbirddisk, 

portal: 192.168.100.254,3260] 

Logout of [sid: 1, target: iqn.2011-08.vbird.centos:vbirddisk, portal: 
192.168.100.254,3260] successful. 

# 这 个 时 候 的 target 连结 还 是 存在 的 ， 虽 然 注 销 你 还 是 看 的 到 ! 


[root@clientlinux ~]# iscsiadm -m node -0 delete \ 

&gt; -T iqn.2011-08.vbird.centos:vbirddisk 
[root@clientlinux ~]# iscsiadm -m node 

iscsiadm: no records found! &lLt;== 嘿 嘿 ! 不 存在 这 个 target 了 ~ 


[root@clientlinux ~]# /etc/init.d/iscsi restart 
# 你 会 发 现 唔 1! 怎么 target 的 信息 不 见 了 ! 这 样 虹 了 乎 ! 





如 果 一 切 都 没有 问题 ， 现 在 ， 请 回 到 discovery 的 过 程 ， 重 新 再 将 iSCSItarget 侦 测 一 次 ， 再 
重新 启动 initiator 来 取得 那 三 个 磁盘 吧 | 我 们 要 来 测试 与 利用 该 磁盘 嘿 |! 


18.3.3 一 个 测试 范例 
到 底 iSCSI| 可 以 怎么 用 ? 我 们 就 来 玩 一 玩 。 假 设 : 


1， 你 刚刚 如 同 岛 哥 的 整个 运作 流程 ， 已 经 在 initiator 上 面 将 target 数据 清除 了 ; 

2. 现在 我 们 只 知道 iSCSItarget 的 IP 是 192.168.100.254 ， 而 需要 的 帐 密 是 vbirduser, 
vbirdpasswd ; 

3， 帐 窗 信 息 你 已 经 写 入 /etc/iscsi/iscsid.conf 里 面 了 ; 

4. 假设 我 们 预计 要 将 target 的 磁盘 拿 来 当 作 LVM 内 的 PV 使 用 ; 

5.， 并 且 将 所 有 的 磁盘 容量 都 给 一 个 名 为 /dev/iscsi/disk 的 LV 使 用 ; 

6. 这 个 LV 会 被 格式 化 为 ext4 ， 且 挂 载 在 /datayiscsi 内 。 


# 1\， 启动 iscsi ， 并 且 开 始 侦 测 及 登入 192.168.100.254 上 面 的 target 名 称 
[root@clientlinux ~]# /etc/init.d/iscsi restart 

[root@clientlinux ~]# chkconfig iscsi on 

[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 192.168.100.254 
[root@clientlinux ~]# /etc/init.d/iscsi restart 

[root@clientlinux ~]# iscsiadm -m node 

192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 


# 2\， 开 始 处 理 LVM 的 流程 ， 由 PV，VG，LV 依 序 处 理 喔 |! 
[root@clientlinux ~]# fdisk -1 &lt;== 出 现 的 资料 中 你 会 发 现 /dev/sd[b-d] 
[root@clientlinux ~]# pvcreate /dev/sd{b,c,d} &lt;== 建 立 PV 去 ! 
Wiping swap signature on /dev/sdb 
Physical volume "/dev/sdb" successfully created 
Physical volume "/dev/sdc" successfully created 
Physical volume "/dev/sdd" successfully created 


[root@clientlinux ~]# vgcreate iscsi /dev/sd{b,c,d} &lt;== 建 立 VG 去 ! 
Volume group "iscsi" successfully created 


[root@clientlinux ~]# vgdisplay &lt;== 要 找到 可 用 的 容量 喝 ! 
--- Volume group --- 


VG Name jiscsi 
中间 
Act PV 3 
VG Size 4.48 GiB 
PE Size 4.00 MiB 
Total PE 1148 ”&1t;== 就 是 这 玩意 儿 ! 共 1148 个 ! 
Alloc PE / Size ©/0 
Free PE / Size 1148 / 4.48 GiB 
.... (底下 省 略 ),... 


[root@clientlinux ~]# lvcreate -1 1148 -n disk iscsi 
Logical volume "disk" created 


[root@clientlinux ~]# lvdisplay 
--- Logical volume --- 


LV Name /dev/iscsi/disk 

VG Name jiscsi 

LV UUID OpR64B-Zeoe-C58n-ipN2-em30-nUYs-wjEZDP 
LV Write Access read/write 

LV Status available 

# open 0 

LV Size 4.48 GiB &1lLt;== 注 意 一 下 容量 对 不 对 啊 ! 
Current LE 1148 

Segments 3 

Allocation inherit 

Read ahead sectors auto 

- currently set to 256 

Block device 253:2 


# 3\， 开 始 格式 化 ， 并 且 进 行 开机 自动 挂 载 的 动作 ! 

[root@clientlinux ~]# mkfs -t ext4 /dev/iscsi/disk 
[root@clientlinux ~]# mkdir -p /data/iscsi 

[root@clientlinux ~]# vim /etc/fstab 

/dev/iscsi/disk /data/iscsi ext4 defaults,_netdev 站 2 


[root@clientlinux ~]# mount -a 
[root@clientlinux ~]# df -Th 
1 类 型 Size Used Avail Use% 挂 载 点 
/dev/mapper/iscsi-disk 
ext4 4.5G 137M 4.16 4% /data/iscsi 


比较 特殊 的 是 /etc/fstab 里 面 的 第 四 个 字段 ， 加 上 netdev (最 前 面 是 底线 ) 指 的 是 ， 因 为 这 个 
partition 位 于 网 络 上 ， 所 以 得 要 网 络 开 机 启动 完成 后 才 会 挂 载 的 意思 。 现 在 ， 请 让 你 的 
iSCSI initiator 重新 启动 看 看 ， 试 看 看 重新 启动 系统 后 ， 你 的 /data/iscsi 是 否 还 存在 呢 ? 仆 


然后 ， 让 我 们 切 回 iSCSI target 那 部 主机 ， 研 究 看 看 到 底 谁 有 使 用 我 们 的 target 呢 ? 


[root@www ~]# tgt-admin --show 
Target 1: iqn.2011-08.vbird.centos:vbirddisk 
System information: 
Driver: iscsi 
State: ready 
I_T nexus information: 
TNe 和 XS: 
Initiator: iqn.1994-05.com.redhat:71cf137f58f2 &1t;== 不 是 很 喜欢 的 名 字 ! 
Connection: 0 
IP Address: 192.168.100.10 &1t ;== 就 是 这 里 联机 进来 哆 1 
LUN information: 


. (后 面 省 略 ) ,..， 


明明 是 initiator 怎么 会 是 那个 redhat 的 名 字 呢 ? 如 果 你 不 介意 那 就 算 了 ， 如 果 挺 介意 的 话 ， 
那么 修改 initiator ee /etc/iscsi/initiatorname.iscsi 这 个 档案 的 内 容 ， 将 它 变 成 类 似 如 
下 的 模样 即 可 : 


Tips: 不 过 ， 这 个 动作 最 好 在 使 用 target 的 LUN 之 前 就 进行 ， 否 则 ， 当 你 使 用 了 LUN 的 磁盘 
后 ， 再 修改 这 个 档案 后 ， et ee 
initiatorname 之 后 ， 原 本 的 磁盘 文件 名 竞 变 成 /dev/sd[efg] 了 ! 害 鸟 哥 的 LV 就 不 能 再 度 使 用 





# 1\， 先 在 iSCSI initiator 上 面 进行 如 下 动作 : 
[root@clientlinux ~]# vim /etc/iscsi/initiatorname.iscsi 
InitiatorName=iqn.2011-08.vbird.centos:initiator 
[root@clientlinux ~]# /etc/init.d/iscsi restart 


# 2\， 在 iSCSI target 上 面 就 可 以 发 现 如 下 的 数据 修订 了 : 
[root@www ~]# tgt-admin --show 
Target 1: iqn.2011-08.vbird.centos:vbirddisk 
System information: 
Driver: iscsi 
State: ready 
I_T nexus information: 
I_T nexus: 5 
Initiator: iqn.2011-08.vbird.centos:initiator 
Connection: 0 
IP Address: 192.168.100.10 
, (后 面 省 略 ),,.,. 


18.4 重点 回顾 


。 如 果 需 要 大 容量 的 磁盘 ， 通 常会 使 用 RAID 磁盘 阵列 的 架构 ; 

。 取得 外 部 磁盘 容量 的 作法 ， 主 要 有 NAT 及 SAN 两 大 类 的 方式 ; 

e。 NAT 可 以 想 成 是 一 部 已 经 客 制 化 的 服务 器 ， 主 要 提供 NFS, SMB 等 网 络 文件 系统 ; 

。 SAN 则 是 一 种 外 接 是 储存 设备 ， 可 以 透 过 SAN 取得 外 部 的 磁盘 装置 ( 非 文件 系统 ) ; 

e。 SAN 早期 使 用 光纤 信道 ， 由 于 以 太 网 络 的 发 展 ， 近 来 使 用 iSCSI 协议 在 TCP/IP 架构 上 
面 实 作 ; 

。 iSCSI| 协议 主要 分 为 | SCSI target (提供 磁盘 装置 者 ) 及 iSCSI initiator ( 存 取 target 磁 
瘟 ) ; 

。 iSCSI target 主要 使 用 scsi-target-utils 软件 达成 主要 利用 tgt-admin 及 tgtadm 指令 完 
成 : 

e 一 般 定 义 target 名 称 为 : iqn.yyyy-mm.<reversed domain name>:identifier 

。 一 部 target 里 面 可 分 享 多 个 磁盘 ， 每 个 磁盘 都 是 一 个 LUN ; 

。 iSCSI initiator 主要 透 过 iscsi-initiator-utils 软件 达成 链接 到 target 的 任务 ; 

。 iscsi-initiator-utils 主要 提供 iscsiadm 来 完成 所 有 的 动作 。 


18.5 本 章 习 是 


e 由 于 网 络 驱 动 器 机 的 运作 是 需要 很 好 的 网 络 质量 才 行 ， 我 们 这 里 仅 在 测试 ， 因 此 ， 请 将 
client 端的 initiator 关闭 ， 否 则 ， 未 来 开机 都 会 怪 怪 的 ! (chkconfig iscsi off; vim 
/etc/fstab 等 等 的 动作 ! ) 


2 3 轨 信 强加 潜入 和 针 二 山 
-可 HY Linux 从 方 森 :人 / 慌 丰 恩 森 以 仙 锌 一 /人 


18.6 参考 数据 与 延伸 阅读 


e。 注 1: SAN 与 NAS 在 维基 百科 : http://en.wikipedia.org/wiki/Storage_area_network 

。 注 2 ; FreeNAS 的 官网 : http://sourceforge.net/projects/freenas/ 

e。 注 3 : 乌 站 网 友 户 明 兄 对 iSCSI 的 说 明文 件 : 
http://linux.vbird.org/somepaper/20081205-rhel4-iscsi.pdf 

。 注 4 : 几 个 常见 的 将 Linux 模拟 成 ISCSI target 与 initiator 的 官网 : Linux SCSI target 
framework (tgt) : http://stgt.sourceforge.net/ Linux-iSCSI Project : http://linux- 
iscsi.sourceforge.net/ Open-iSCSI : http:/www.open-iscsi.org/ 

。 注 5 : iSCS| 内 的 iqn 及 LUN 意义 说 明 : http;//en.wikipedia.org/wiki/ISCSI 

。 注 6 : 鸟 站 之 友 户 明 兄 提供 的 良好 文献 ， 以 及 相关 的 initiator 设 定 方式 : 
http://linux.vbird.org/somepaper/20081205-rhelS-iscsi.pdf iSCSI (client) 
howto : http://www.cyberciti.biz/tips/rhel-centos-fedora-linux-iscsi-howto.html 鸟 站 昌 版 
资料 : http://linux.vbird.org/linux_basic/0610hardware/0610hardware-fc4.php#raid_iscsi 

e http://rhev-wiki.org/index.php?title=RHEL 5.5/CentOS 5.5 iSCSI_ Storage Server 


2011/04/08 : 重新 编辑 本 数据 哩 ! 2011/04/25 : 历经 多 个 礼拜 的 杂事 杂 务 缠身 ， 终 于 完成 这 
篇 iSCSI 的 模拟 应 用 。 应 该 是 挺 好 玩 的 一 个 吹 吹 ~ 2011/08/02 : 将 基于 CentOS 5.x 的 版 本 
移动 到 此 处 


QQAA 人 和 芯 洒 提请 许仙 问 计 AA 
18.6 参考 数据 与 延伸 阅读 644 


第 四 部 分 : 第 见 因特网 服务 器 架设 


讲 到 因特网 服务 器 ， 你 第 一 个 会 想到 的 应 该 就 是 WWW 还 有 FTP 吧 ! 但 其 实 还 有 一 个 更 重要 
的 你 可 能 会 不 知道 他 的 存在 ， 那 就 是 DNS ! 这 才 是 重点 中 的 重点 一 因为 我 们 都 是 使 用 主机 
名 来 联机 的 嘛 ! 这 部 份 一 定 会 使 用 到 DNS 服务 器 ， 因 此 我 们 当然 要 了 解 一 下 。 最 后 再 跟 大 
家 报告 邮件 服务 器 ! 这 些 服 务 器 的 设 定 以 及 未 来 的 应 用 是 非常 好 玩 的 ， 不 过 如 果 最 前 面 的 两 
篇 您 没有 预先 读 过 ， 那 么 您 的 服务 器 被 入 侵 也 是 一 个 可 以 『 预 期 」 的 后 果 ! 所 以 哩 ， 看 完 前 
两 篇 后 ， 仔 细 的 开始 瞧 一 瞧 这 一 篇 的 服务 器 吧 ! ^ ^ 


鸟 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


也 


~ 


如 


Ey 
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最 近 更 新 日 期 : 2011/08/05 


我 们 都 知道 ， 在 『 记 忆 J 的 角色 上 ， 人 脑 总 是 不 如 计算 机 的 ， 而 人 们 对 文字 的 印象 又 比 数字 
高 。 因 此 ， 想 要 使 用 纯粹 的 TCP/IP 来 上 网 ， 实 在 不 好 记忆 又 很 麻烦 。 为 了 适应 人 类 的 使 用 习 
惯 ， 因 此 一 个 名 为 DNS 的 服务 ， 帮 我 们 将 主机 名 解析 为 IP 好 让 大 家 只 要 记得 主机 名 就 能 使 
用 Internet 的 吹 吹 就 这 么 诞生 啦 ! 在 这 一 章 当 中 ， 我 们 会 谈 一 谈 DNS 服务 内 的 正 、 反 解 
Zone 的 意义 ， 解 析 主 机 名 的 授权 概念 与 整体 查询 流程 ， 以 及 master/slave DNS 服务 的 配置 
等 等 只 ! 赶紧 动 动脑 先 ~ 


e。 19.1 什么 是 DNS 
o 19.1.1 用 网 络 主机 名 取得 IP 的 历史 渊源 : /etc/hosts, DNS, FQDN 
o 19.1.2 DNS 的 主机 名 对 应 IP 的 查询 流程 ; 阶层 式 与 TLD, 查询 流程 , port 
o 19.1.3 合法 DNS 的 关键 : 申请 领域 查询 授权 
o 19.1.4 主机 名 交 由 1SP 代 管 还 是 自己 设 定 DNS 服务 器 
o 19.1.5 DNS 数据 库 的 记录 : 正解 , 反 解 , Zone 的 意义 
o 19.1.6 DNS 数据 库 的 类 型 : hint, masterslave 架构 
e 19.2 Client 端的 设 定 
o 19.2.1 相关 配置 文件 : /etc/hosts, /etc/resolv.conf, /etc/nsswitch.conf 
o 19.2.2 DNS 的 正 、 反 解 查询 指令 : host, nslookup, dig 
o 19.2.3 查询 领域 管理 者 相关 信息 : whois 
。 19.3 DNS 服务 器 的 软件 、 种 类 与 cache only DNS 服务 器 设 定 
o 19.3.1 架设 DNS 所 需要 的 软件 
o 19.3.2 BIND 的 默认 路 径 设 定 与 chroot : /etc/sysconfig/named 与 chroot 
o 19.3.3 单纯 的 cache-only DNS 服务 器 与 forwarding 功能 : named.conf, messages 
e 19.4 DNS 服务 器 的 详细 设 定 
o 19.4.1 正解 文件 记录 的 数据 (Resource Record, RR) : A, NS, SOA, CNAME, MX 
o 19.4.2 反 解 文件 记录 的 RR 数据 : PTR 
o 19.4.3 步骤 一 : DNS 的 环境 规划 : 正解 、 反 解 zone 的 预先 定义 案例 说 明 
o 19.4.4 步骤 二 : 主 配置 文件 /etc/named.conf 的 设置 
o 19.4.5 步骤 三 : 最 上 层 . (root) 数据 库 档案 的 设 定 
o 19.4.6 步骤 四 : 正解 数据 库 档案 的 设 定 
o 19.4.7 步骤 五 : 反 解 数据 库 档 案 的 设 定 
o 19.4.8 步骤 六 : DNS 的 启动 、 观 察 与 防火 墙 
o 19.4.9 步骤 七 : 测试 与 数据 库 更 新 
e 19.5 协同 工作 的 DNS : Slave DNS 及 子 域 授权 设 定 
o 19.5.1 master DNS 权限 的 开放 
o 19.5.2 Slave DNS 的 设 定 与 数据 库 权 限 问题 
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o 19.5.3 建 置 子 域 DNS 服务 器 : 子 域 授 权 课 题 
o 19.5.4 依 不 同 接口 给 予 不 同 的 DNS 主机 名 : view 功能 的 应 用 
。 19.6 DNS 服务 器 的 进 阶 设 定 
o 19.6.1 架设 一 个 合法 授权 的 DNS 服务 器 
o 19.6.2 LAME Server 的 问题 
o 19.6.3 利用 RNDC 指令 管理 DNS 服务 器 
o 19.6.4 架设 动态 DNS 主机 : 让 你 成 为 ISP 啤 |! 
。 19.7 重点 回顾 
。 19.8 本 章 习 题 
。 19.9 参考 数据 与 延伸 阅读 
e 19.10 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=115692 


第 十 九 童 、 主 机 名 控制 者 : DNS 服务 器 和 


19.1 什么 生 DNS 


DNS 越 来 越 重要 ， 尤 其 未 来 IPv6 这 个 需要 128bits 地 址 的 玩意 儿 。 因 为 我 们 连 IPv4 的 
32bits 都 背 不 起 来 了 ，128bits 要 怎么 背 ? 这 时 主机 名 自动 解析 为 IP 就 很 重要 啦 ! 那 就 是 
DNS。 但 是 DNS 的 架设 有 点 麻烦 ， 重 点 是 原理 的 部 分 比较 不 好 理解 。 因此 在 这 个 小 节 当 
中 ， 让 我 们 先 来 谈 谈 与 网 络 主机 名 有 关 的 一 些 知 识 ， 这 样 架设 DNS 才 不 会 出 问题 。 


19.1.1 用 网 络 主机 名 取得 IP 的 历史 渊源 


目前 的 因特网 世界 使 用 的 是 所 谓 的 TCP/IP 协议 ， 其 中 IP 为 第 四 版 的 IPv4 。 不 过 ， 这 个 
IPv4 是 由 32 位 所 组 成 ， 为 了 人 脑 已 经 转 成 四 组 十 进 制 的 数字 了 ， 例 如 12. 56.78 这 样 的 格 
式 。 当 我 们 利用 Internet 传送 数据 的 时 候 ， 就 需要 这 个 IP ， 否 则 数据 封包 怎么 知道 要 被 送 到 
哪里 去 ? 


e。 单一 档案 处 理 上 网 的 年 代 : /etc/hosts 


然而 人 脑 对 于 IP 这 种 数字 的 玩意 儿 ， 记 忆 力 实在 是 不 怎么 样 。 但 是 要 上 Internet 又 一 定 需要 
IP， 怎 么 办 ?为 了 应 付 这 个 问题 ， 早 期 的 朋友 想到 一 个 方法 ， 那 就 是 利用 某 些 特定 的 档案 将 
主机 名 与 IP 作 一 个 对 应 ， 如 此 一 来 ， 我 们 就 可 以 透 过 主机 名 来 取得 该 主机 的 IP 了 ! 站 是 个 
好 主意 ， 因 为 人 类 对 于 名 字 的 记忆 力 可 就 好 多 了 上 ! 那 就 是 /etc/hosts 这 个 档案 的 用 途 了 。 


可 惜 的 是 ， 这 个 方法 还 是 有 缺憾 的 ， 那 就 是 主机 名 与 IP Wn 无 法 自动 于 所 有 的 计算 机 内 更 
新 ， 且 要 将 主机 名 加 入 该 档案 仅 能 向 INTERNIC 注册 ， 若 IP 数量 太 多 时 ， 该 档案 会 大 到 不 

象 话 ， 也 就 更 不 利于 其 他 主机 同步 化 了 。 如 下 图 所 示 ， 客 户 端 计算 机 每 次 都 得 要 重新 下 载 一 
次 档案 才能 顺利 联网 ! 


INTERNIC 2. 等 待人 员 处 理 将 网 站 名 
称 写 六 特定 档案 中 


每 次 上 网 都 需要 更 新 中 
一 > 


己 一 一 一 一 一 一 4. 这 时 才能 开始 连 网 
一 档案 进行 网 络 联机 的 示意 图 


\ 注册 De 





图 19.1-1、 早 期 透 过 单 


在 第 四 章 4.2.1 里 面 我 们 约略 谈 过 /etc/hosts 这 个 档案 的 用 法 ， 基 本 上 该 档案 内 容 就 是 『IP 主 
机 名 主机 别名 一 主机 别名 二 ...J 。 在 里 面 最 重要 的 就 是 localhost 对 应 到 127.0.0.1 这 个 吹 
吹 | 你 千 万 不 能 删除 该 笔记 录 的 。 这 里 也 再 次 强调 ， 在 你 的 私有 网 域内 部 ， 最 好 将 所 有 的 和 私 
有 上 P 与 主机 名 对 应 都 写 入 这 个 档案 中 啦 ! 


e。 分 布 式 、 阶 层 式 主机 名 管理 架构 : DNS 系统 


早期 网 络 尚未 流行 且 计算 机 数量 不 多 时 ，/etc/hosts 倒是 还 够 用 的 ， 但 自从 90 年 代 网 络 热门 
化 后 ， 单 一 档案 /etc/hosts 的 联网 问题 就 发 生 上 面 讲 的 状况 啦 ! 为 了 解决 这 个 日 益 严重 的 问 
题 ， 柏 克 莱 大 学 发 展 出 另外 一 套 阶 层 式 管理 主机 名 对 应 IP 的 系统 ， 我 们 称 它 为 Berkeley 
Internet Name Domain, BIND ， 这 个 系统 可 就 优秀 的 多 了 一 透 过 阶层 式 管理 ， 可 以 轻松 的 进 
行 维护 的 工作 一 太 棒 了 1! 这 也 是 目前 全 世界 使 用 最 广泛 的 领域 名 系统 (Domain Name System， 
DNS) 哩 ~ 透 过 DNS ， 我 们 不 需要 知道 主机 的 IP ， 只 要 知道 该 主机 的 名 称 ， 就 能 够 轻易 的 连 
上 该 主机 了 ! 


DNS 利用 类 似 树 状 目录 的 架构 ， 将 主机 名 的 管理 分 配 在 不 同 层 级 的 DNS 服务 器 当中 ， 经 由 
分 层 管理 ， 所 以 每 一 部 DNS 服务 器 记忆 的 信息 就 不 会 很 多 ， 而 且 若 有 IP 异动 时 也 相当 容易 
修改 ! 因为 你 如 果 已 经 申请 到 主机 名 解析 的 授权 ， 那 么 在 你 自己 的 DNS 服务 器 中 ， 就 能 够 
修改 全 世界 都 可 以 查询 到 的 主机 名 了 | 而 不 用 透 过 上 层 ISP 的 维护 呢 ! 自己 动手 当然 是 最 快 
的 啦 ! 


由 于 目前 的 |Pv4 已 经 接近 发 送 完毕 的 阶段 ， 因 此 未 来 那个 128bits 的 IPv6 会 逐渐 热门 起 来 。 
那么 你 需要 背 128bits 的 IP 来 上 网 吗 ? 想必 是 不 可 能 的 ! 因此 这 个 可 以 透 过 主机 名 就 解析 到 
IP 的 DNS 服务 ， 可 以 想象 的 到 ， 它 会 越 来 越 重 要 。 此 外 ， 目 前 全 世界 的 WWW 主机 名 也 都 
是 透 过 DNS 系统 在 处 理 IP 的 对 应 ， 所 以 ， 当 DNS 挂 点 时 ， 我 们 将 无 法 透 过 主机 名 来 联机 ， 
那 就 几乎 相当 于 没有 Internet 了 ! 


因为 DNS 是 这 么 的 重要 ， 所 以 即使 我 们 没有 架设 它 的 必要 时 ， 还 是 得 要 熟悉 一 下 它 的 原理 才 
好 。 因 此 ， 跟 DNS 有 关 的 FQDN、Hostname 与 IP 的 查询 流程 ， 正 解 与 反 解 、 合 法 授权 的 
DNS 服务 器 之 意义 ， 以 及 Zone 等 等 的 知识 作 一 个 认识 才 行 ! 


Tips: 在 底下 的 说 明 当 中 ， 我 们 有 时 会 提 到 DNS 有 时 会 提 到 BIND ， 这 有 什么 不 同 ? 由 上 面 
的 说 明 里 面 ， 你 可 以 了 解 到 ，DNS 是 一 种 因特网 的 通讯 协议 名 称 ， 至 于 Bind 则 是 提供 这 个 
DNS 服务 的 软件 一 这 样 你 了 解 了 吗 ? | 


/i NN 
(0 站 电导 


。 完整 主机 名 : Fully Qualified Domain Name (FQDN) 


第 一 个 与 DNS 有 关 的 主机 名 概念 ， 就 是 『 主 机 名 与 领域 名 (hostname and domain name)J 
的 观念 ， 以 及 由 这 两 者 组 成 的 完整 主机 名 Fully Qualified Domain Name, FQDN 的 意义 了 。 在 
讨论 这 个 主题 之 前 ， 我 们 来 聊 一 聊 比 较 生 活化 的 话题 : 


。 以 区 域 来 区 分 同名 同姓 者 的 差异 : 网 络 世界 其 实 有 很 多 人 自称 为 『 鸟 哥 1 的 ， 包 括 表 人 
在 下 小 生 我 啦 ! 那么 你 怎么 知道 此 鸟 哥 非 彼 岛 哥 呢 ? 这 个 时 候 你 可 以 利用 每 个 岛 哥 的 所 
在 地 来 作为 区 分 啊 ， 比 如 说 台南 的 乌 哥 与 台北 的 岛 哥 等 。 那 万 一 台南 还 有 两 个 人 自称 乌 
哥 怎 么 办 ?没关系 ， 你 还 可 以 依照 乡镇 来 区 分 呢 ! 比如 说 台南 北 区 的 岛 哥 及 台南 中 区 的 
鸟 哥 。 如 果 将 这 个 吹 吹 列 出 来 ， 就 有 点 像 这 样 : 


| 鸟 哥 、 北 区 、 台 南 鸟 哥 、 中 区 、 人 台南 鸟 哥 、 台 北 ,..,.. 


是 否 就 可 以 分 辨 每 个 岛 哥 的 不 同 点 了 呢 ?呵呵 | 没 错 ! 就 是 这 样 ! 那个 地 区 就 是 『 领 域 
(domain) 」， 而 乌 哥 就 是 主机 名 啦 ! 


e 以 区 域 号 码 来 区 分 相同 的 电话 号 码 : 另外 一 个 例子 可 以 使 用 电话 号 码 来 看 ， 假 如 高 雄 有 
个 1234567 而 台南 也 有 个 1234567， 那 么 (1) 你 在 高 雄 直 接 拨 接 1234567 时 ， 他 会 直接 
挂 入 高 雄 的 1234567 电话 中 ，(2) 但 如 果 你 要 拨 到 台南 去 ， 就 得 加 入 (06) 这 个 区 码 才 
行 ! 我 们 就 是 使 用 区 码 来 做 为 辨识 之 用 的 ! 此 时 那个 06 区 码 就 是 domain name ;而 电 
话 号 码 就 是 主机 名 啦 ! 


有 没有 一 点 点 了 解 乌 哥 想 表达 的 啦 ? 我 们 上 面 讲 到 ，DNS 是 以 树 状 目录 分 阶层 的 方式 来 处 理 
主机 名 ， 那 我 们 知道 树 状 目录 中 ， 那个 目录 可 以 记录 文件 名 。 那 么 DNS 记录 的 哪个 吃 吹 跟 
『 目 录 」 有关? 就 是 那个 领域 名 。 领 域名 底下 还 可 以 记录 各 个 主机 名 ， 组 合 起 来 才 是 完整 的 
主机 名 (FQDN)。 


举例 来 说 ， 我 们 常常 会 发 现 主机 名 都 是 www 的 网 站 ， 例 如 www.google.com.tw, 
www.seednet.net, www.hinet.net 等 等 ， 那 么 我 们 怎么 知道 这 些 www 名 称 的 主机 在 不 同 的 地 
方 呢 ? 就 需要 给 他 领域 名 嚼 ! 也 就 是 .google.com.tw, .seednet.net, .hinet.net 等 等 的 不 同 ， 所 
以 即使 你 的 主机 名 相同 ， 但 是 只 要 不 是 在 同一 个 领域 内 ， 那 么 就 可 以 被 分 辨 出 不 同 的 位 置 

史 | 


我 们 知道 目录 树 的 最 顶层 是 根 目 录 (/)， 那 么 DNS 既然 也 是 阶层 式 的 ， 最 顶层 是 哈 呢 ?每 一 层 
的 domain name 与 hostname 又 该 怎么 分 ? 我们 举 鸟 哥 所 在 的 昆山 科大 的 WWW 服务 器 为 例 
好 了 (www.ksu.edu.tw) : 


Domain name : .tw 
com tw Hostname : gov, edu, com 


Domain name : .edu.tw 
Hostname : ntu, ksu, ncku 
.ncku.edu.tw 


Domain name : .ksu.edu,tw 
Www,ksu,edu,tw Hostname ; Www 
图 19.1-2、 


分 阶层 的 DNS 架构 ， 以 昆山 科大 为 例 (hostname & domain name) 





在 上 面 的 例子 当中 ， 由 上 向 下 数 的 第 二 层 里 面 ， 那 个 .tw 是 domain name ， 而 com, edu， 
gov 则 是 主机 的 名 称 ， 而 在 这 个 主机 的 名 称 之 管理 下 ， 还 有 其 他 更 小 网 域 的 主机 ， 所 以 在 第 三 
层 的 时 候 ， 基 本 上 ， 那 个 edutw 就 变 成 了 domain name 了 ! 而 昆山 科大 与 成 大 的 ksu, ncku 


则 成 为 了 hostname 史 |! 


以 此 类 推 ， 最 后 得 到 我 们 的 主机 那个 www 是 主机 名 ， 而 domain name 是 由 ksu.edu.tw 那个 
名 字 所 决定 的 ! 自然， 我们 的 主机 就 是 让 管理 ksu.edu.tw 这 个 domain name 的 DNS 服务 器 
所 管理 的 嘿 ! 这样 是 否 了 解 了 domain name 与 hostname 的 不 同 了 呢 ? 


Tips: 并 不 是 以 小 数 点 (.) 区 分 domain name 与 hostname 喔 ! 某 些 时 刻 domain name 所 管 
理 的 hostname 会 含有 小 数 点 。 举例 来 说 ， 乌 可 所 在 的 信息 传播 系 并 没有 额外 的 DNS 服务 器 
架设 ， 因 此 我 们 的 主机 名 为 www.dic， 而 domain name 还 是 ksu.edu.tw ， 因 此 全 名 为 
www.dic.ksu.edu.tw 哩 ! 





19.1.2 DNS 的 主机 名 对 应 IP 的 查询 流程 


约略 了 解 了 FQDN 的 domain name 与 hostname 之 后 ， 接 下 来 我 们 要 谈 一 谈 这 个 DNS 的 : 
(1) 阶 层 架 构 是 怎样 ? (2) 查 询 原理 是 怎样 ? 总 是 要 先知 道 架 构 才 能 知道 如 何 查询 主机 名 的 呐 ! 
所 以 底下 我 们 先 来 介绍 一 下 整体 的 DNS 阶层 架构 。 


e。 DNS 的 阶层 架构 与 TLD 


我 们 依旧 使 用 台湾 学 术 网 络 的 DNS 服务 器 所 管理 的 各 domain 为 例 ， 将 最 上 层 到 昆山 科大 
(ksu) 时 ， 之 间 的 各 层 绘制 如 下 图 : 
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19.1-3、 从 最 上 层 到 昆山 科大 之 间 的 DNS 阶层 示意 图 


在 整个 DNS 系统 的 最 上 方 一 定 是 . (小 数 点 ) 这 个 DNS 服务 器 ( 称 为 root)， 最 早 以 前 它 底 下 
管理 的 就 只 有 (1)com, edu, gov, mil org, .net 这 种 特殊 领域 以 及 (2) 以 国家 为 分 类 的 第 二 层 的 
主机 名 了 |! 这 两 者 称 为 Top Level Domains (TLDs) 喔 ! 


。 一 般 最 上 层 领域 名 (Generic TLDs, gTLD) : 例如 .com, .org, .gov 等 等 
。 国 码 最 上 层 领域 名 (Country code TLDs, ccTLD) : 例如 .tw, .uk, .jp, .cn 等 


先 来 谈 谈 一 般 最 上 层 领域 (gTLD) 好 了 ， 最 早 root 仅 管理 六 大 领域 名 ， 分 别 如 下 : 


名 称 代表 意义 
com 公司 、 行 号 、 企 业 
org 组 织 、 机 构 
edu 教育 单位 
gov 政府 单位 
net 网 络 、 通 讯 
mil 军事 单位 


但 是 因特网 成 长 的 速度 太 快 了 ， 因 此 后 来 除了 上 述 的 六 大 类 别 之 外 ， 还 有 诸如 .asia, .info， 
jobs ( 注 1) 等 领域 名 的 开放 。 此 外 ， 为 了 让 菜 些 国家 也 能 够 有 自己 的 最 上 层 领域 名 ， 因 此 ， 
就 有 所 谓 的 ccTLD 了 。 这 样 做 有 什么 好 处 呢 ? 因为 自己 的 国家 内 有 最 上 层 ccTLD ， 所 以 如 果 
有 domain name 的 需求 ， 则 只 要 向 自己 的 国家 申请 即 可 ， 不 需要 再 到 最 上 层 去 申请 哩 | 


e 授权 与 分 层 负 责 


既然 TLD 这 么 好 ， 那 么 是 否 我 们 可 以 自己 设 定 TLD 呢 ? 当然 不 行 ! 因为 我 们 得 向 上 层 ISP 
申请 领域 名 的 授权 才 行 。 例 如 台湾 地 区 最 上 层 的 领域 名 是 以 .tw 为 开头 ， 管 理 这 个 领域 名 的 机 
器 IP 是 在 台湾 ， 但 是 .tw 这 部 服务 器 必须 向 root (.) 注册 领域 名 查询 授权 才 行 (如 上 图 19.1-3 
所 示 ) 。 


那么 每 个 国家 之 下 记录 的 主要 下 层 有 哪些 领域 呢 ? 基本 上 就 是 原先 root 管理 的 那 六 大 类 。 不 
过 ， 由 于 各 层 DNS 都 能 管理 自己 辖 下 的 主机 名 或 子 领域 ， 因 此 ， 我 们 的 .tw 可 以 自行 规划 自 
己 的 子 领域 名 喔 ! 例如 目前 台湾 ISP 常 提供 的 .idv.tw 的 个 人 网 站 就 是 一 例 啊 | 


再 强调 一 次 ，DNS 系统 是 以 所 谓 的 阶层 式 的 管理 ， 所 以 ， 请 注意 喔 ! 那个 .tw 只 记录 底下 那 
一 层 的 这 数 个 主要 的 domain 的 主机 而 已 ! 至 于 例如 edu.tw 底下 还 有 个 ksu.edu.tw 这 部 机 
器 ， 那 就 直接 授权 交 给 edu.tw 那 部 机 器 去 管理 了 ! 也 就 是 说 『 每 个 上 一 层 的 DNS 服务 器 所 
记录 的 信息 ， 其 实 只 有 其 下 一 层 的 主机 名 而 已 1 4 至 于 再 下 一 层 ， 则 直接 『 授 权 J 给 下 层 的 
某 部 主机 来 管理 嘿 1 呵呵 | 所 以 你 就 应 该 会 知道 DNS 到 底 是 如 何 管理 的 吧 | 


会 这 样 设 定 的 原因 不 是 没有 道理 的 | 这 样 设计 的 好 处 就 是 : 每 部 机 器 管理 的 只 有 下 一 层 的 
hostname 对 应 IP 而 已 ， 所 以 减少 了 管理 上 的 困扰 | 而 下 层 Client 端 如 果 有 问题 ， 只 要 询问 
上 一 层 的 DNS server 即 可 ! 不 需要 跨越 上 层 ， 除 错 上 面 也 会 比较 简单 呢 ! 

e@ 透 过 DNS 查询 主机 名 IP 的 流程 


刚刚 说 过 DNS 是 以 类 似 『 树 状 目 录 J 的 型 态 来 进行 主机 名 的 管理 的 ! 所 以 每 一 部 DNS 服务 
器 都 『 仅 管理 自己 的 下 一 层 主 机 名 的 转译 4 而 已 ， 至 于 下 层 的 下 层 ， 则 『 授 权 J 给 下 层 的 
DNS 主机 来 管理 啦 ! 这 样 说 好 像 很 绕 口 ， 好 吧 | 我 们 就 以 下 图 来 说 一 说 原理 嘿 : 
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Wwwksuedutw Se dtY 图 19.1-4、 透 过 DNS 系统 查询 主机 名 解 译 的 流程 


首先 ， 当 你 在 浏览 器 的 网 址 列 输入 http://www.ksu.edu.tw 时 ， 你 的 计算 机 就 会 依据 相关 设 定 
(在 Linux 底下 就 是 利用 /etc/resolv.conf 这 个 档案 ) 所 提供 的 DNS 的 IP 去 进行 联机 查询 了 。 
由 于 目前 最 常见 的 DNS 服务 器 就 属 Hinet 的 168.95.1.1 这 个 DNS， 所 以 我 们 就 拿 他 来 做 例 
子 吧 |! 嗯 1 这 个 时 候 ，hinet 的 这 部 服务 器 会 这 样 工 作 : 


， 收 到 用 户 的 查询 要 求 ， 先 查看 本 身 有 没有 纪录 ， 若 无 则 向 . 查询 : 由 于 DNS 是 阶层 式 的 
架构 ， 每 部 主机 都 会 管理 自己 辖 下 的 主机 名 解 译 而 已 。 因 为 hinet 并 没有 管理 台湾 学 术 网 
络 的 权力 ， 因 此 就 无 法 直接 回报 给 客户 端 。 此 时 168.95.1.1 就 会 向 最 顶层 ， 也 就 是 . 
(root) 的 服务 器 查询 相关 IP 信息 。 


一 人 


向 最 顶层 的 . (root) 查询 : 168.95.1.1 会 主动 的 向 . 询问 www.ksu.edu.tw 在 哪里 呢 ? 但 
是 由 于 . 人 为 台湾 只 有 .tw 向 . 注册 而 已 )， 此 时 . 会 告知 『 我 是 不 
知道 这 部 主机 的 IP 啦 ， 不 过 ， 你 应 该 向 .tw 去 询问 才 对 ， 我 这 里 不 管 | 我 跟 你 说 .tw 在 
哪里 吧 | 1 


D 


3， 向 第 二 层 的 .tw 服务 器 查询 : 168.95.1.1 接着 又 到 .tw 去 查询 ， 而 该 部 机 器 管理 的 又 仅 
有 .edu.tw, .com.tw, gov.tw... 那 几 部 主机 ， 比 对 后 发 现 我 们 要 的 是 .edu.tw 的 网 域 ， 
所 以 这 个 时 候 .tw 又 告诉 168.95.1.1 说 : 『 你 要 去 管理 .edu.tw 这 个 网 域 的 主机 那里 查 
询 ， 我 有 他 的 IP ! 1] 


4， 向 第 三 层 的 .edu.tw 服务 器 查询 : 同 理 可 证 ，.edu.tw 只 会 告诉 168.95.1.1， 应 该 要 去 
.ksu.edu.tw 进行 查询 ， 这 里 只 能 告知 .ksu.edu.tw 的 IP 而 已 。 


5， 向 第 四 层 的 .ksu.edu.tw 服务 器 查询 : 等 到 168.95.1.1 找到 .ksu.edu.tw 之 后 ，Bingo 
! .ksu.edu.tw 说 : 『 没 错 ! 这 部 主机 名 是 我 管理 的 ~ 我 跟 你 说 他 的 IP 是 ... 所 以 此 时 
168.95.1.1 就 能 够 查 到 www.ksu.edu.tw 的 IP 嘿 | 


6. 记录 暂 存 内 存 并 回报 用 户 : 查 到 了 正确 的 IP 后 ，168.95.1.1 的 DNS 机 器 总 不 会 在 下 
有 人 查询 www.ksu.edu.tw 的 时 候 再 跑 一 次 这 样 的 流程 吧 | 粉 远 粉 累 的 呐 ! a 
系统 的 资源 与 网 络 的 带宽 ， 所 以 呢 ，168.95.1.1 这 个 DNS 会 很 聪明 的 先 记 录 一 份 查询 的 
结果 在 自己 的 暂 存 内 存 当 中 ， 以 方便 响应 下 一 次 的 相同 要 求 啊 ! 最 后 则 将 结果 回报 给 
client 端 ! 当然 啦 ， 那 个 记忆 在 cache 当中 的 数据 ， 其 实 是 有 时 间 性 的 ， 当 过 了 DNS 设 
定 记 忆 的 时 间 (通常 可 能 是 24 小 时 )， 那 么 该 记录 就 会 被 释放 喔 ! 


整个 分 层 查 询 的 流程 就 是 这 样 ， 总 是 得 要 先 经 过 . 来 向 下 一 层 进行 查询 ， 最 终 总 是 能 得 到 答案 
的 。 这 样 分 层 的 好 处 是 : 


e 主机 名 修改 的 仅 需 自己 的 DNS 更 动 即 可 ， 不 需 通知 其 他 人 : 当 一 个 『 合 法 4 的 DNS 服 
务 器 里 面 的 设 定 修 改 了 之 后 ， 来 自 世 界 各 地 任何 一 个 DNS 的 要 求 ， 都 会 正确 无 误 的 显示 
正确 的 主机 名 对 应 IP 的 信息 ， 因 为 他 们 会 一 层 一 层 的 寻找 下 来 。 所 以 ， 要 找 你 的 主机 名 
对 应 的 |P 就 一 定 得 要 透 过 你 的 上 层 DNS 服务 器 的 纪录 才 行 ! 因此 ， 只 要 你 的 主机 名 字 
是 经 过 上 层 『 合 法 的 DNSJ 服务 器 设 定 的 ， 那 么 就 可 以 在 Internet 上 面 被 查询 到 啦 | 呵 
呵 | 很 简单 维护 吧 ， 机 动 性 也 很 高 。 

e。 DNS 服务 器 对 主机 名 解析 结果 的 快 取 时 间 : 由 于 每 次 查询 到 的 结果 都 会 储存 在 DNS 服 
务 器 的 高 速 缓存 中 ， 以 方便 若 下 次 有 相同 需求 的 解析 时 ， 能 够 快速 的 响应 。 不 过 ， 查 询 
结果 已 经 被 快 取 了 ， 但 是 原始 DNS 的 主机 名 与 IP 对 应 却 修改 了 ， 此 时 若 有 人 再 次 查 


询 ， 系 统 可 能 会 回报 曙 的 IP 喔 ! 所 以 ， 在 快 取 内 的 答案 是 有 时 间 性 的 ! 通常 是 数 十 分 钟 
。 这 也 是 为 什么 我 们 常 说 当 你 修改 了 一 个 domain name 之 后 ， 可 能 
后 才能 全 面 的 启用 的 缘故 啦 ! 


e。 可 持续 向 下 授权 ( 子 领域 名 授权 ) : 每 一 部 可 以 记录 主机 名 与 IP 对 应 的 DNS 服务 器 都 可 
以 随意 更 动 他 自己 的 数据 库 对 应 ， 因 此 主机 名 与 域名 在 各 个 主机 底下 都 不 相同 。 举 例 来 
说 ，idv.tw 是 仅 有 台湾 才 有 这 个 idv 的 网 域 ~ 因为 这 个 idv 是 由 .tw 所 管理 的 ， 所 以 只 
台湾 .tw 维护 小 组 同意 ， 就 能 够 建立 该 网 域 喔 ! 


好 啦 ! 既然 DNS 这 么 棒 ， 然 后 我 们 又 需要 架 站 ， 所 以 需要 一 个 主机 的 名 称 ， 那 么 我 们 需要 架 
设 DNS 了 吗 ? 当然 不 是 ， 为 什么 呢 ? 刚刚 乌 哥 提 到 了 很 多 次 的 『 合 法 4 0 ， ee 


涉 到 『 授 权 J 的 问题 了 ! 我 们 在 第 十 章 当中 也 提 到 ， 只 要 主机 名 合法 即 可 ， 不 见得 需要 架设 
DNS 的 啦 1 
例题 : 透 过 dig 实 作出 本 小 节 谈 到 的 . --> .tw --> .edu.tw --> .ksu.edu.tw --> www.ksu.edu.tw 


的 a 程 ， A 查询 阶段 的 DNS 服务 器 有 几 部 ? 答 : 事实 上 ， 我 们 可 以 透 过 第 四 章 
约略 谈 过 的 dig 这 个 指令 来 实 作 出 喔 ! 使 用 追踪 功能 (+trace) 就 能 够 达到 这 个 目的 了 。 使 用 方 
式 如 下 


[root@www ~]# dig +trace www.Kksu.edu.tw 
; &lt;&lt;&gt;&gt; DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 &lt;&lt;&gt;&gt;+trace www.ksu.edu 
;; global options: printcmd 
486278 IN NS a.root-servers.net. 
486278 IN NS b.root-servers.net. 
. (底下 省 略 ).. 
# 上 面 的 部 分 在 追踪 ， 的 服务 器 ， 可 从 a ~ m.root-servers.net. 
;; Received 500 bytes from 168.95.1.1#53(168.95.1.1) in 22 ms 


tw. 172800 IN NS ns.twnic.net. 
tw. 172800 IN NS a.dns.tw. 
tw. 172800 IN NS b.dns.tw. 

,( 底 下 省 略 ) , ， 


# 上 面 的 部 分 在 追踪 ,tw， 的 服务 器 ， 可 从 a ~ h.dns.tw， 包括 ns.twnic,net， 
;; Received 474 bytes from 192.33.4.12#53(c.root-servers.net) in 168 ms 


edu. tw. 86400 IN NS a.twnic.net. tw. 
edu. tw. 86400 IN NS b.twnic.net.tw. 

# 追踪 .edu.tw. 的 则 有 7 部 服务 器 

;; Received 395 bytes from 192.83.166.11#53(ns.twnic.net) in 22 ms 


ksu.edu.tw. 86400 IN NS dns2.ksu.edu.tw. 
ksu.edu.tw. 86400 IN NS dns3.twaren.net . 
ksu.edu.tw. 86400 IN NS dns1.ksu.edu.tw. 
;; Received 131 bytes from 192.83.166.9#53(a.twnic.net.tw) in 22 ms 
www. ksu.edu.tw. 3600 IN A 120.114.100.101 
ksu.edu.tw. 3600 IN NS dns2.ksu.edu.tw. 
ksu.edu.tw. 3600 IN NS dns1.ksu.edu.tw. 
ksu.edu.tw. 3600 IN NS dns3.twaren.net . 


;; Received 147 bytes from 120.114.150.1#53(dns2.ksu.edu.tw) in 14 ms 


加 于 ss 





最 终 的 结果 有 找到 A (Address) 是 120.114.100.101， 不 过 这 个 例题 的 重点 是 ， 要 让 大 家 瞧 瞪 
整个 DNS 的 搜寻 过 程 ! 在 dig 加 上 +trace 的 选项 后 ， 就 能 够 达到 这 个 目的 。 至 于 其 他 的 都 
是 服务 器 (NS) 的 设 定 值 与 追踪 过 程 喔 | 有 没有 很 清楚 啊 ?^ ^。 至 于 A 与 NS 等 相关 的 数 


据 ， 我 们 在 后 续 的 DNS 数据 库 介 绍 中 ， 再 分 别 介绍 哆 。 
。 DNS 使 用 的 port number 


好 了 ， 既 然 DNS 系统 使 用 的 是 网 络 的 查询 ， 那 么 自然 需要 有 监听 的 port 史 ! 没 错 ! 很 合 
理 ! 那么 DNS 使 用 的 是 那 一 个 port 呢 ? 那 就 是 53 这 个 port 啦 ! 你 可 以 到 你 的 Linux 底下 的 
/etc/services 这 个 档案 看 看 ! 搜寻 一 下 domain 这 个 关键 词 ， 就 可 以 查 到 53 这 个 port 啦 ! 


但 是 这 里 需要 跟 大 家 报告 的 是 ， 通 常 DNS 查询 的 时 候 ， 是 以 udp 这 个 较 快 速 的 数据 传输 协议 
来 查询 的 ， 但 是 万 一 没有 办 法 查询 到 完整 的 信息 时 ， 就 会 再 次 的 以 tcp 这 个 协定 来 重新 查询 
的 | 所 以 启动 DNS 的 daemon (就 是 named 啦 ) 时 ， 会 同时 启动 tcp 及 udp 的 port53 哩 1! 
所 以 ， 记 得 防火 墙 也 要 同时 放行 tcp, udp port 53 呢 ! 


19.1.3 合法 DNS 的 关键 : 申请 领域 查询 授权 


什么 ?DNS 服务 器 的 架设 还 有 『 合 法 」 与 『 不 合法 4 之 分 喔 ?不 是 像 其 他 的 服务 器 一 样 ， 架 
设 好 之 后 人 家 就 查 的 到 吗 ? 非 也 非 也 ! 为 什么 呢 ? 底下 我 们 就 来 谈 一 谈 。 


。 向 上 层 领域 注册 取得 合法 的 领域 查询 授权 


我 们 在 第 十 章 也 讲 过 ， 申 请 一 个 合法 的 主机 名 就 是 需要 注册 ， 注 册 就 是 需要 花 钱 啦 ! 那么 注 
册 取 得 的 资料 有 两 种 ， 一 种 是 第 十 章 谈 到 的 FQDN (主机 名 )， 一 种 就 是 申请 领域 查询 权 。 所 
谓 的 FQDN 就 是 我 们 只 需要 主机 名 ， 详 细 的 设 定数 据 就 由 ISP 帮 我 们 搞定 。 例 如 图 19.1-4 所 
示 ， 那 部 www.ksu.edu.tw 的 详细 主机 名 对 应 IP 的 数据 就 是 请 管理 .ksu.edu.tw 那个 领域 的 
服务 器 搞定 的 。 


那 什么 是 领域 查询 授权 呢 ? 同样 用 图 19.1-4 来 解释 ， 我 们 的 .ksu.edu.tw 必须 要 向 .edu.tw 那 
部 主机 注册 申请 领域 授权 ， 因 此 ， 未 来 有 任何 .ksu.edu.tw 的 要 求 时 ，.edu.tw 都 会 说 : 『 我 
不 知道 ! 详情 请 去 找 .ksu.edu.tw 吧 ! 」 此 时 ， 我 们 就 得 要 架设 DNS 服务 器 来 设 定 
.ksu.edu.tw 相关 的 主机 名 对 应 才 行 喔 ! 是 否 很 像 人 类 社会 的 『 授 权 4J 的 概念 ?了 


也 就 是 说 ， 当 你 老板 充分 的 『 授 权 J 给 你 某 项 工作 的 时 候 ， 从 此 ， 要 进行 该 项 工作 的 任何 

人 ， 从 老板 那 边 知道 你 才 是 真正 『 有 权 4 的 人 之 后 ， 都 必须 要 向 你 请 示 一 样 1^ ^ 人 1! 所 以 嘿 ， 
如 果 你 要 架设 DNS ， 而 且 是 可 以 连 上 Internet 上 面 的 DNS 时 ， 你 就 必须 要 透 过 【上 层 DNS 
服务 器 的 授权 4 才 行 ! 这 是 很 重要 的 观念 喔 ! 


让 我 们 归纳 一 下 ， 要 让 你 的 主机 名 对 应 IP 且 让 其 他 计算 机 都 可 以 查询 的 到 ， 你 有 两 种 方式 : 


1， 上 层 DNS 授权 领域 查询 权 ， 让 你 自己 设 定 DNS 服务 器 ， 或 者 是 ; 
2. 直接 请 上 层 DNS 服务 器 来 帮 你 设 定 主机 名 对 应 ! 


3， 拥 有 领域 查询 权 后 ， 所 有 的 主机 名 信息 都 以 自己 为 准 ， 与 上 层 无 关 


很 多 朋友 可 能 都 有 过 申请 DNS 领域 查询 授权 的 经 验 ， 在 申请 时 ，1SP 就 会 要 你 填写 (1) 你 的 
DNS 服务 器 名 称 以 及 (2) 该 服务 器 的 IP。 既然 已 经 在 |SP 就 填写 了 主机 名 与 IP 的 对 应 ， 所 
人 以， 即使 我 的 DNS 服务 器 挂 点 了 9 在 ISP 上 面 的 主机 名 应 该 还 是 查 到 员 Ip 吧 ?9 答案 是 . 

『 错 1 4 查 不 到 的 ! 为 什么 呢 ? 


DNS 系统 记录 的 信息 非常 的 多 ， 不 过 重点 其 实 有 两 个 ， 一 个 是 记录 服务 器 所 在 的 NS 
(NameServer) 标志 ， 另 一 个 则 是 记录 主机 名 对 应 的 A(Address) 标志 。 我 们 在 网 络 上 面 查询 
到 的 最 终结 果 ， 都 是 查询 IP (IP Address) 的 ， 因 此 最 终 的 标志 要 找 的 是 人 这 个 记录 才 对 【我 
们 以 乌 哥 注册 的 .vbird.org 来 说 明 好 了 ， 鸟 哥 去 注册 时 ， 记 录 在 ISP 的 DNS 服务 器 名 称 为 
dns.vbird.org， 该 笔记 录 其 实 就 是 NS ， 并 非 A， 如 下 图 所 示 : 


服务 器 管理 的 数据 库 记录 的 内 容 


授权 的 domain : .org 
申请 的 用 户 : www,godaddy,com(NS) 


授权 的 domain ; .vbird,org 


www.godaddy.com 申请 的 用 户 : 
dns.vbird.org > NS (140,116:…) 
查询 


录 
de hi dns.vbird .org D> A (140.116:……} 
et linux.vbird.org DD A (140.116.…) 


际 A 记录 的 差异 





图 19.1-5、 记 录 的 授权 主机 名 与 实 


上 图 中 ， 虽 然 在 godaddy 服务 器 内 有 记录 一 笔 『 要 查询 .vbird.org 时 ， 请 到 dns.vbird.org 
(NS) 去 查 ， 这 个 管理 者 的 IP 是 140.116...4 ， 但 是 这 笔记 录 只 是 告诉 我 们 要 去 下 一 个 服务 器 
找 ， 并 不 是 最 终 的 A(IP Address) 的 答案 ， 所 以 还 得 要 继续 往 下 找 (随时 记得 图 19.1-4 的 查 
询 流程 )。 此 时 ， 有 几 种 结果 会 导致 dns.vbird.org 的 IP 找 不 到 ， 或 者 是 最 终 的 IP 与 godaddy 
记录 的 不 同 的 结果 喔 ! 那 就 是 : 


。 dns.vbird.org 服务 器 挂 点 时 : 如 果 dns.vbird.org 这 部 主机 挂 点 ， 那 么 在 上 图 显示 『 查 
询 」 箭头 的 步骤 会 被 中 断 ， 因 此 就 会 出 现 『 联 机 不 到 dns.vbird.org 的 IPJ 的 结果 。 因 为 
无 论 如 何 ，DNS 系统 都 会 去 找到 最 后 一 个 含有 A 地 址 的 记录 啊 |! 


。 dns.vbird.org 服务 器 内 的 数据 库 忘记 补 上 数据 时 : 如 果 鸟 哥 在 自己 的 服务 器 数据 库 中 ， 
忘记 加 上 dns.vbird.org 的 记录 时 ， 最 终 的 结果 还 是 会 显示 『 找 不 到 该 服务 器 的 IPJ」; 


。 dns.vbird.org 服务 器 内 的 数据 库 数据 编写 不 一 致 时 : 如 果 是 在 鸟 哥 自己 服务 器 的 数据 库 
内 的 dns.vbird.org 所 记录 的 IP 与 godaddy 的 不 同 ， 最终 的 结果 会 以 鸟 哥 记录 的 为 准 。 


总 之 ， 你 在 ISP 上 面 填写 的 主机 名 只 是 一 个 参考 用 的 ， 最 终 还 是 要 在 你 自己 DNS 服务 器 当中 
设 定好 才 行 ! 虽然 可 以 自己 恶 摘 一 下 ， 不 过 ， 通 常 大 家 还 是 会 让 ISP 上 面 的 DNS 服务 器 主 

机 名 与 自己 的 数据 库 主 机 名 一 致 ， 亦 即 上 图 中 ， 中 间 与 最 下 面 方 框 内 的 dns.vbird.org 的 NS 
及 A 都 对 应 到 同一 个 IP 就 是 了 。 


19.1.4 主机 名 交 由 ISP 代 管 还 是 自己 设 定 DNS 服务 器 


前 面 19.1.3 小 节 以 及 第 十 章 都 谈 过 ， 申 请 主机 名 或 域名 主要 有 两 种 方式 ， 就 是 刚刚 上 头 提 到 
的 DNS 授权 ， 或 者 是 直接 交 给 ISP 来 管理 。 交 给 |SP 管理 的 ， 就 可 以 称 作 是 域名 代 管 啦 ! 
当然 啦 ， 如 果 你 是 学 校 单位 的 话 ， 或 者 是 企业 内 部 的 小 单位 ， 那 么 就 得 请 你 向 上 层 DNS 主 
机 的 负责 人 要 求 嚼 ! 无 论 如 何 ， 你 只 能 有 两 个 选择 就 是 了 ， 要 不 就 是 请 他 帮忙 你 设 定好 
hostname 对 应 IP ， 要 嘛 就 是 请 他 直接 将 某 个 domain name 段 授权 给 你 做 为 DNS 的 主要 管 
理 网 域 。 


那么 我 怎么 知道 那个 方式 对 我 比较 好 呢 ? 请 注意 ， 由 于 DNS 架设 之 后 ， 会 多 出 一 个 监听 的 
port ， 所 以 理论 上 ， 是 比较 不 安全 的 ! 而 有 全， 由 于 因特网 现在 都 是 透 过 主机 名 在 联机 ， 在 了 
解 上 面谈 到 的 主机 名 查询 流程 后 ， 你 会 发 现 ，DNS 设 定 错误 是 很 要 命 的 ! 因为 你 的 主机 名 再 
也 找 不 到 了 。 所 以 ， 这 里 的 建议 是 : 

e 需要 架设 DNS 的 时 机 : 

e 你 所 负责 需要 连 上 Internet 的 主机 数量 庞大 : 例如 你 一 个 人 负责 整个 公司 十 几 部 的 网 络 
Server， 而 这 些 Server 都 是 挂 载 你 的 公司 网 域 之 下 的 。 这 个 时 候 想 要 不 架设 DNS 也 粉 
难 啦 1 

。 你 可 能 需要 时 常 修改 你 Server 的 名 字 ， 或 者 是 你 的 Server 有 随时 增加 的 可 能 性 与 变动 
性 ; 

e 不 需要 架设 DNS 的 时 机 : 

e@ 网 络 主机 数量 很 少 : 例如 家 里 或 公司 只 有 需要 一 部 mail server 时 ; 

e@ 你 可 以 直接 请 上 层 DNS 主机 管理 员 帮 你 设 定 好 Hostname 的 对 应 时 ; 

e。 你 对 于 DNS 的 认 知 不 足 时 ， 如 果 架 设 反而 容易 造成 网 络 不 通 的 情况 ; 

e。 架设 DNS 的 费用 很 高 时 |! 


19.1.5 DNS 数据 库 的 记录 : 正解 , 反 解 , Zone 的 意义 


从 前 面 的 图 19.1-4 的 查询 流程 中 ， 我 们 知道 最 重要 的 就 是 .ksu.edu.tw 那 部 DNS 服务 器 内 的 
记录 信息 了 。 这 些 记 录 的 吹 吹 我 们 可 以 称呼 为 数据 库 ， 而 在 数据 库 里 面 针 对 每 个 要 解析 的 领 
域 (domain)， 就 称 为 一 个 区 域 (zone)。 那 么 到 底 有 哪些 要 解析 的 领域 呢 ? 基本 上 ， 有 从 主机 


名 查 到 IP 的 流程 ， 也 可 以 从 IP 反 查 到 主机 名 的 方式 。 因为 最 早 前 DNS 的 任务 就 是 要 将 主机 
名 解析 为 IP， 因 此 : 


e 从 主机 名 查询 到 IP 的 流程 称 为 : 正解 
。 从 IP 反 解 析 到 主机 名 的 流程 称 为 : 反 解 
。 不 管 是 正解 还 是 反 解 ， 每 个 领域 的 记录 就 是 一 个 区 域 (zone) 


举例 来 说 ， 昆 山 科 大 DNS 服务 器 管理 的 就 是 .ksu.eqdu.tw 这 个 领域 的 查询 权 ， 任 何 想 要 知道 
.ksu.edu.tw 主机 名 的 IP 都 得 向 昆山 科大 的 DNS 服务 器 查询 ， 此 时 .ksu.edu.tw 就 是 一 个 

『 正 解 的 领域 ] 。 而 昆山 科大 有 申请 到 几 个 class C 的 子 域 ， 例 如 120.114.140.0/24， 如 果 
这 254 个 可 用 IP 都 要 设 定 主机 名 ， 那 么 这 个 120.114.140.0/24 就 是 一 个 『 反 解 的 领域 〗 ! 
另外 ， 每 一 部 DNS 服务 器 都 可 以 管理 多 个 领域 ， 不 管 是 正解 还 是 反 解 。 


e。 正解 的 设 定 权 以 及 DNS 正解 zone 记录 的 标志 


那 谁 可 以 申请 正解 的 DNS 服务 器 架设 权 呢 ?答案 是 : 都 可 以 ! 只 要 该 领域 没有 人 使 用 ， 那 
你 先 抢 到 了 ， 就 能 够 使 用 了 。 不 过 ， 因 为 国际 INTERNIC 已 经 定义 出 g9TLD 以 及 ccTLD 了 ， 
所 以 你 不 能 自 定义 例如 centos.vbird 这 种 网 域 的 ! 还 是 得 要 符合 上 层 DNS 所 给 予 的 领域 范围 
才 行 。 举 例 来 说 ， 台 湾 个 人 网 站 就 常 使 用 *.idv.tw 这 样 的 领域 名 。 


那 正解 文件 的 zone 里 面 主 要 记录 了 什么 东西 呢 ? 因为 正解 的 重点 在 由 主机 名 查询 到 |P， 而 
且 每 部 DNS 服务 器 还 是 得 要 定义 清楚 ， 同 时 ， 你 可 能 还 需要 架设 master/slave 架构 的 DNS 
环境 ， 因 此 ， 正 解 zone 通常 具有 底下 几 种 标志 : 


。 SOA : 就 是 开始 验证 (Start of Authority) 的 缩写 ， 相 关 资 料 本 章 后 续 小 节 说 明 ; 
。 NS : 就 是 名 称 服务 器 (NameServer) 的 缩写 ， 后 面 记 录 的 数据 是 DNS 服务 器 的 意思 ; 
。 A : 就 是 地 址 (Address) 的 缩写 ， 后 面 记录 的 是 IP 的 对 应 (最 重要 ) ; 


e@ 反 解 的 设 定 权 以 及 DNS 反 解 zone 记录 的 标志 


正解 的 领域 名 只 要 符合 INTERNIC 及 你 的 ISP 规范 即 可 ， 取 得 授权 较为 简单 (自己 取 名 字 ) 。 
那 反 解 呢 ? 反 解 主要 是 由 IP 找到 主机 名 ， 因 此 重点 是 IP 的 所 有 人 是 谁 啦 ! 因为 IP 都 是 
INTERNIC 发 放 给 各 家 |SP 的 ， 而 且 我 们 也 知道 ，IP 可 不 能 乱 设 定 (路 由 问题 ) ! 所 以 哩 ， 能 
够 设 定 反 解 的 就 只 有 IP 的 拥有 人 ， 亦 即 你 的 ISP 才 有 权力 设 定 反 解 的 。 那 你 向 ISP 取得 的 
IP 能 不 能 自己 设 定 反 解 呢 ? 答案 是 不 行 ! 除非 你 取得 的 是 整个 class C 以 上 等 级 的 IP 网 段 ， 
那 你 的 ISP 才 有 可 能 给 你 IP 反 解 授权 。 和 否则 ， 若 有 反 解 的 需求 ， 就 得 要 向 你 的 直属 上 层 ISP 
申请 才 行 ! 


那么 反 解 的 zone 主要 记录 的 信息 有 哪些 呢 ?3 除了 服务 器 必 备 的 NS 以 及 SOA 之 外 ， 最 重要 
的 就 是 : 


。 PTR : 就 是 指向 (PoinTeR) 的 缩写 ， 后 面 记录 的 数据 就 是 反 解 到 主机 名 嘿 ! 


。 每 部 DNS 都 需要 的 正解 zone : hint 


现在 你 知道 一 个 正解 或 一 个 反 解 就 可 以 称 为 一 个 zone 了 ! 那么 有 没有 那个 zone 是 特别 重要 
的 呢 ? 有 的 ， 那 就 是 . 啊 ! 从 图 19.1-4 里 面 我 们 就 知道 ， 当 DNS 服务 器 在 自己 的 数据 库 找 
不 到 所 需 的 信息 时 ， 一 定 会 去 找 .， 那 . 在 哪里 啊 ? 所 以 就 得 要 有 记录 . 在 哪里 的 记录 zone 
才 行 啊 ! 这 个 记录 . 的 zone 的 类 型 ， 就 被 我 们 称 为 hint 类 型 ! 这 几乎 是 每 个 DNS 服务 器 都 
得 要 知道 的 zone 喔 1 


所 以 说 ， 一 部 简单 的 正解 DNS 服务 器 ， 基 本 上 就 要 有 两 个 zone 才 行 ， 一 个 是 hint ， 一 个 是 
关于 自己 领域 的 正解 zone。 举 岛 哥 注册 的 vbird.org 为 例 ， 在 鸟 哥 的 DNS 服务 器 内 ， 至 少 就 
要 有 这 两 个 zone : 


e。 hint (root) : 记录 . 的 zone ; 
。 vbird.org : 记录 .vbird.org 这 个 正解 的 zone 。 


你 会 发 现 我 没有 vbird.org 这 个 domain 所 属 IP 的 反 解 zone ， 为 什么 呢 ? 请 参考 上 面 的 详细 
说 明 吧 ! 简单 的 说 ， 就 是 因为 反 解 需要 要 求 |P 协议 的 上 层 来 设 定 才 行 ! 


。 正 反 解 是 否 一 定 要 成 对 ? 


好 了 ， 正 反 解 需 不 需要 成 套 产生 ， 在 这 里 不 用 多 说 明了 吧 ?^ | 请 注意 喔 ， 在 很 多 的 情况 下 ， 
尤其 是 目前 好 多 英名 其 妙 的 领域 名 产生 出 来 ， 所 以 ， 常 常会 只 有 正解 的 设 定 需求 而 已 。 不 过 
也 不 需要 太 过 担心 啦 ， 因 为 通常 在 反 查 的 情况 中 ， 如 果 你 是 使 用 目前 台湾 地 区 最 流行 的 
ADSL 上 网 的 话 ， 那 么 /SP 早 就 已 经 帮 你 设 定好 反 解 了 ! 例如 : 211.74.253.91 这 个 seednet 
的 浮动 式 叫 反 查 的 结果 会 得 到 211-74-253-91.adsl.dynamic.seed.net.tw. 这 样 的 主机 名 ! 所 
以 在 一 般 我 们 自行 申请 领域 名 的 时 候 ， 你 只 要 担心 正解 的 设 定 即 可 ! 不 然 的 话 ， 反 正 反 解 的 
授权 根本 也 不 会 开放 给 你 ， 你 自己 设 定 得 很 高 兴 也 没有 用 呀 | 八 


事实 上 ， 需 要 正 反 解 成 对 需求 的 大 概 仅 有 mail server 才 需 要 吧 ! 由 于 目前 网 络 带宽 老 是 被 垃 
圾 、 广 告 邮 件 占 光 ， 所 以 Internet 的 社会 对 于 合法 的 mail server 规定 也 就 越 来 越 严格 。 如 果 
你 想 要 架设 mail server 时 ， 最 好 具有 固定 IP ， 这 样 才能 向 你 的 ISP 要 求 设 定 反 解 喔 ! 以 
hinet 为 例 的 反 解 申请 : 


e http://hidomain.hinet.net/top1.html 


19.1.6 DNS 数据 库 的 类 型 : hint, master/slave 架构 


你 知道 的 ，DNS 越 来 越 重要 ， 所 以 ， 如 果 你 有 注册 过 领域 名 的 话 ， 就 可 以 发 现 ， 现 在 ISP 都 
要 你 填写 两 部 DNS 服务 器 的 IP 哩 1! 因 为 要 作为 备 援 之 用 嘛 ! 总 不 能 一 部 DNS 挂 点 后 ， 害 你 
的 所 有 主机 名 都 不 能 被 找到 ~- 那 站 态 烦 ~- 


但 是 ， 如 果 有 两 部 以 上 的 DNS 服务 器 ， 那 么 网 络 上 会 搜寻 到 哪 一 部 呢 ? 答案 是 ， 不 知道 ! 
为 是 随机 的 ~ 所以， 如果 你 的 领域 有 两 部 DNS 服务 器 的 话 ， 那 这 两 部 DNS 服务 器 的 内 容 就 
得 完全 一 模 一 样 ， 和 否则 ， 由 于 是 随机 找到 DNS 来 询问 ， 因 此 若 数 据 不 同步 ， 很 可 能 造成 其 他 
用 户 无 法 取得 正确 数据 的 问题 。 


为 了 解决 这 个 问题 ， 因 此 在 . (root) 这 个 hint 类 型 的 数据 库 档 案外 ， 还 有 两 种 基本 类 型 ， 分 别 
是 Master (主人 、 主 要 ) 数据 库 与 Slave (奴隶 、 次 要 ) 数据 库 类 型 。 这 个 Master/Slave 就 是 要 
用 来 解决 不 同 DNS 服务 器 上 面 的 数据 同步 问题 的 。 所 以 底下 让 我 们 来 聊 聊 MasterSlave 

吧 | 


e Master : 


这 种 类 型 的 DNS 数据 库 中 ， 里 面 所 有 的 主机 名 相关 信息 等 ， 通 通 要 管理 员 自己 手动 去 修改 与 
设 定 ， 设 定 完毕 还 得 要 重新 启动 DNS 服务 去 读 取 正 确 的 数据 库 内 容 ， 才 算 完 成 数据 库 更 

新 。 一 般 来 说 ， 我 们 说 的 DNS 架设 ， 就 是 指 设 定 这 种 数据 库 的 类 型 。 同 时 ， 这 种 类 型 的 数据 
库 ， 还 能 够 提供 数据 库 内 容 给 slave 的 DNS 服务 器 喔 ! 


e Slave: 


如 前 所 述 ， 通 常 你 不 会 只 有 一 部 DNS 服务 器 ， 例 如 我 们 前 面 的 例题 查询 到 的 .ksu.edu.tw 就 
有 3 部 DNS 服务 器 来 管理 自己 的 领域 。 那 如 果 每 部 DNS 我 们 都 是 使 用 Master 数据 库 类 
型 ， 当 有 用 户 向 我 要 求 要 修改 或 者 新 增 、 删 除数 据 时 ， 一 笔 数据 我 就 得 要 做 三 次 ， 还 可 能 会 
不 小 心 手 滑 导 致 某 几 部 出 现 错误 ， 此 时 可 就 伤 脑筋 了 一 因此 ， 这 时 使 用 Slave 类 型 的 数据 库 
取得 方式 就 很 有 用 |! 


Slave 必须 要 与 Master 相互 搭配 ， 若 以 .ksu.edu.tw 的 例子 来 说 ， 如 果 我 必须 要 有 三 部 主机 
提供 DNS 服务 ， 且 三 部 内 容 相 同 ， 那 么 我 只 要 指定 一 部 服务 器 为 Master ， 其 他 两 部 为 该 

Master 的 Slave 服务 器 ， 那 么 当 要 修改 一 笔名 称 对 应 时 ， 我 只 要 手动 更 改 Master 那 部 机 器 
的 配置 文件 ， 然 后 ， 重 新 启动 BIND 这 个 服务 后 ， 呵 呵 ! 其 他 两 部 Slave 就 会 自动 的 被 通知 
更 新 了 ! 这 样 一 来 ， 在 维护 上 面 可 就 轻松 写意 的 多 了 一- 


Tips: 如 果 你 设 定 Master/Slave 架构 时 ， 你 的 Master 主机 必须 要 限制 只 有 某 些 特定 IP 的 主 
机 能 够 取得 你 Master 主机 的 正 反 解 数据 库 权 限 才 好 1 所 以 ， 上 面 才 会 提 到 Master/Slave 必 
须要 互相 搭配 才 行 ! 


e Master / Slave 的 查询 优先 权 ? 


另外 ， 既 然 我 的 所 有 DNS 服务 器 是 需要 同时 提供 internet 上 面 的 领域 名 解析 的 服务 ， 所 以 不 
论 是 Master 还 是 Slave 服务 器 ， 他 都 必须 要 可 以 同时 提供 DNS 的 服务 才 好 ! 因为 在 DNS 
系统 当中 ， 领 域名 的 查询 是 『 先 抢先 赢 」4 的 状态 ， 我 们 不 会 晓得 哪 一 部 主机 的 数据 会 先 被 查 
询 到 的 ! 为 了 提供 良好 的 DNS 服务 ， 每 部 DNS 主机 都 要 能 正常 工作 才 好 啊 ! 而 有 全 ， 每 一 部 
DNS 服务 器 的 数据 库 内 容 需 要 完全 一 致 ， 否 则 就 会 造成 客户 端 找到 的 IP 是 错误 的 |! 


e Master / Slave 数据 的 同步 化 过 程 


那么 Master/Slave 的 数据 更 新 到 底 是 如 何 动作 的 呢 ? 请 注意 ，Slave 是 需要 更 新 来 自 Master 
的 数据 啊 ! 所 以 当然 Slave 在 设 定之 初 就 需要 存在 Master 才 行 喔 ! 基本 上 ， 不 论 Master 还 
是 Slave 的 数据 库 ， 都 会 有 一 个 代表 该 数据 库 新 日 的 『 序 号 上 」， 这 个 序号 数值 的 大 小 ， 是 会 
影响 是 否 要 更 新 的 动作 哨 ! 至 于 更 新 的 方式 主要 有 两 种 : 


e@ Master 主动 告知 : 例如 在 Master 在 修改 了 数据 库 内 容 ， 并 且 加 大 数据 库 序 号 后 ， 重 新 
启动 DNS 服务 ， 那 master 会 主动 告知 slave 来 更 新 数据 库 ， 此 时 就 能 够 达成 数据 同 
步 ; 


。 由 Slave 主动 提出 要 求 : 基本 上 ，Slave 会 定时 的 向 Master 察看 数据 库 的 序号 ， 当 发 
现 Master 数据 库 的 序号 比 Slave 自己 的 序号 还 要 大 (代表 比较 新 )， 那 么 Slave 就 会 开始 
更 新 。 如 果 序 号 不 变 ， 那 么 就 判断 数据 库 没 有 更 动 ， 因 此 不 会 进行 同步 更 新 。 


由 上 面 的 说 明 来 看 ， 其 实 设 计数 据 库 的 序号 最 重要 的 目的 就 是 让 master/slave 数据 的 同步 
化 。 那 我 们 也 知道 slave 会 向 master 提出 数据 库 更 新 的 需求 ， 问 题 是 ， 多 久 提 出 一 次 更 新 ， 
如 果 该 次 更 新 时 由 于 网 络 问题 ， 所 以 没有 查询 到 master 的 序号 ( 亦 即 更 新 失败 )， 那 隔 多 久 会 
重新 更 新 一 次 ? 这 个 与 SOA 的 标志 有 关 ， 后 续 谈 到 正 、 反 解数 据 库 后 ， 再 来 详细 说 明 吧 ! 


如 果 你 想 要 架设 Master/Slave 的 DNS 架构 时 ， 两 部 主机 (Master/Slave) 都 需要 你 能 够 掌控 
才 行 ! 网 络 上 很 多 的 文件 在 这 个 地 方 都 有 点 『 闪 失 J ， 请 特别 的 留意 啊 |! 因为 岛 哥 的 DNS 服 
务 器 常常 会 听 到 某 些 其 他 DNS 的 数据 库 同步 化 需求 ， 引 觉得 烦 呐 ! 


19.2 Client 端的 设 定 


由 于 DNS 是 每 部 想 要 连 上 因特网 的 主机 都 得 要 设 定 的 ， 因 此 我 们 就 从 简单 的 客户 端 设 定 谈 
起 。 因 为 未 来 架设 好 DNS server 后 ， 我 们 都 会 直接 进行 测试 ， 所 以 ， 这 个 部 分 得 先 处 理 处 理 
比较 妥当 啊 ! 


19.2.1 相关 配置 文件 


从 19.1.1 的 说 明 当 中 我 们 晓得 主机 名 对 应 到 IP 有 两 种 方法 ， 早 期 的 方法 是 直接 写 在 档案 里 面 
来 对 应 ， 后 来 比较 新 的 方法 则 是 透 过 DNS 架构 ! 那么 这 两 种 方法 分 别 使 用 什么 配置 文件 ? 
可 不 可 以 同时 存在 ? 若 同时 存在 时 ， 那 个 方法 优先 ? 嗯 ! 我 们 先 来 谈 一 谈 几 个 配置 文件 吧 ! 


。 /etc/hosts : 这 个 是 最 时 的 hostname 对 应 IP 的 档案 ; 
e@ /etc/resolv.conf : 这 个 重要 ! 就 是 ISP 的 DNS 服务 器 IP 记录 处 ; 
e。 /etc/nsswitch.conf : 这 个 档案 则 是 在 『 决 定 〗 先 要 使 用 /etc/hosts 还 是 /etc/resolv.conf 的 


设 定 ! 


一 般 而 言 ，Linux 的 预 设 主机 名 与 IP 的 对 应 搜寻 都 以 /etc/hosts 为 优先 ， 为 什么 呢 ? 你 可 以 
查看 一 下 /etc/nsswitch.conf ， 并 找到 hosts 的 项 目 : 


[root@www ~]# vim /etc/nsswitch.conf 
hosts: files dns 


上 面 那 个 files 就 是 使 用 /etc/hosts， 而 最 后 的 dns 则 是 使 用 /etc/resolv.conf 的 DNS 服务 器 来 
进行 搜寻 啦 ! 因此 ， 你 可 以 先 以 /etc/hosts 来 设 定 IP 对 应 ! 当然 啦 ， 你 也 可 以 将 他 调换 过 
来 ， 不 过 ， 总 是 /etc/hosts 比较 简单 ， 所 以 将 他 摆 在 前 面 比较 好 啦 ! 


好 啦 ， 既 然 我 们 是 要 进行 DNS 测试 的 ， 那 么 就 得 要 了 解 一 下 /etc/resolv conf 的 内 容 ， 假 设 你 
在 台湾 ， 使 用 的 是 hinet 的 168.95.1.1 这 部 DNS 服务 器 ， 所 以 你 应 该 这 样 写 : 


[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


DNS 服务 器 的 IP 可 以 设 定 多 个 ， 为 什么 要 设 定 多 个 呢 ? 因为 当 第 一 部 ( 照 设 定 的 顺序 ) DNS 
挂 点 时 ， 我 们 客户 端 可 以 使 用 第 二 部 (上 述 是 139.175.10.20) 来 进行 查询 ， 这 多 少 有 点 像 
DNS 备 援 功 能 。 通 常 建议 至 少 填写 两 部 DNS 服务 器 的 IP， 不 过 在 网 络 正常 使 用 的 情况 下 ， 
永远 只 有 第 一 部 DNS 服务 器 会 被 使 用 来 查询 ， 其 他 的 设 定 值 只 是 在 第 一 部 出 问题 时 才 会 被 使 
用 。 


Tips: 尽量 不 要 设 定 超过 3 部 以 上 的 DNS IP 在 /etc/resolv.conf 中 ， 因 为 如 果 是 你 的 区 网 出 问 
题 ， 导 致 无 法 联机 到 DNS 服务 器 ， 那 么 你 的 主机 还 是 会 向 每 部 DNS 服务 器 发 出 联机 要 求 ， 
每 次 联机 都 有 timeout 时 间 的 等 待 ， 会 导致 浪费 非常 多 的 时 间 嘱 | 


例题 : 我 的 主机 使 用 DHCP 取得 IP ， 很 奇怪 的 ， 当 我 修改 过 /etc/resolv.conf 之 后 ， 隔 不 多 
久 这 个 档案 又 会 恢复 成 原本 的 样子 ， 这 是 什么 原因 ? 该 如 何 处 理 ? 答 : 因为 使 用 DHCP 时 ， 
系统 会 主动 的 使 用 DHCP 服务 器 传 来 的 数据 进行 系统 配置 文件 的 修订 。 因 此 ， 你 必须 告知 系 
统 ， 不 要 使 用 DHCP 传 来 的 服务 器 设 定 值 。 此 时 ， 你 得 要 在 /etc/sysconfig/network- 
scripts/ifcfg-eth0 等 相关 档案 内 ， 增 加 一 行 : 『PEERDNS=noJ」， 然 后 重新 启动 网 络 即 可 。 


此 外 ， 如 果 你 有 启动 CentOS 6.x 的 NetworkManager 服务 ， 有 时 候 也 可 能 会 产生 一 些 奇 特 的 
现象 哩 ! 所 以 鸟 哥 是 建议 关 挤 它 的 1 和 人 


19.2.2 DNS 的 正 、 反 解 查询 指令 : host, nslookup, dig 
测试 DNS 的 程序 有 很 多 ， 我 们 先 来 使 用 最 简单 的 host 吧 ! 然后 还 有 nslookup 及 dig 哩 ! 


e host 


[root@www ~]# host [-a] FQDN [server] 

[root@www ~]# host -1 domain [server] 

选项 与 参数 : 

-a :代表 列 出 该 主机 所 有 的 相关 信息 ， 包 括 IP、TTL 与 除 错 讯息 等 等 

-1] : 若 后 面 接 的 那个 domain 设 定 允许 allow-transfer 时 ， 则 列 出 该 domain 
所 管理 的 所 有 主机 名 对 应 数据 ! 

server : 这 个 参数 可 有 可 无 ， 当 想 要 利用 非 /etc/resolv.conf 内 的 DNS 主机 

来 查询 主机 名 与 IP 的 对 应 时 ， 就 可 以 利用 这 个 参数 了 ! 





# 1\， 使 用 默认 值 来 查 出 linux.vbird.org 的 IP 
[root@www ~]# host linux.vbird.org 
linux.vbird.org has address 140.116.44.180 &1t;== 这 是 IP 


= 


linux.vbird.org mail is handled by 10 linux.vbird.org. &lt;== 这 是 MX (后 续 章 节 说 明 ) 


# 2\， 查 出 linux.vbird.org 的 所 有 重要 参数 

[root@www ~]# host -a linux.vbird.org 

Trying "linux.vbird.org" 

;; -&gt;&gt;HEADERS1t;&1t;- opcode: QUERY, status: NOERROR, id: 56213 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 


;; QUESTION SECTION: 


;linux.vbird.org. IN ANY 

;; ANSWER SECTION: 

linux.vbird.org. 145 IN A 140.116.44.180 

;; AUTHORITY SECTION: 

vbird.org. 145 IN NS dns.vbird.org. 

vbird.org. 145 IN NS dns2.vbird.org. 


Received 86 bytes from 168.95.1.1#53 in 15 ms &lt;== 果 然 是 从 168.95.1.1 取得 的 资料 
# 看 样子 ， 不 就 是 dig 的 输出 结果 ? 所以， 我 们 才 会 说 ， 使 用 dig 才 是 王道 ! 


# 3\， 强 制 以 139.175.10.20 这 部 DNS 主机 来 查询 
[root@www ~]# host linux.vbird.org 139.175.10.20 
Using domain server: 

Name: 139.175.10.20 

Address: 139.175.10.20#53 

Aliases: 


linux.vbird.org has address 140.116.44.180 
linux.vbird.org mail is handled by 10 linux.vbird.org. 


看 到 最 后 一 个 范例 ， 有 注意 到 上 面 输出 的 特殊 字体 部 分 吗 ? 了 很 多 朋友 在 测试 自己 的 DNS 时 ， 
常常 会 『 指 定 到 错误 的 DNS 查询 主机 」 了 一 因为 他 们 的 /etc/reslov.conf 忘记 改 ， 所 以 老 是 找 
己 设 定 的 数据 库 IP 数据 。 所 以 你 要 仔细 看 啊 ! 


# 4\， 找 出 Vbird.org 领域 的 所 有 主机 对 应 

[root@www ~]# host -1 vbird.org 

; Transfer failed. 

Host vbird.org not found: 9(NOTAUTH) 

; Transfer failed. &1t;== 竞 然 失败 了 | 请 看 底下 的 说 明 ! 


怎么 会 无 法 响应 呢 ? 这 样 的 响应 是 因为 管理 vbird.org 领域 的 DNS 并 不 许 我 们 的 领域 查询 ， 
毕 竞 我 们 不 是 vbird.org 的 系统 管理 员 ， 当 然 没 有 权限 可 以 读 取 整 个 vbird.org 的 领域 设 定 哩 ! 
这 个 『host-|J 是 用 在 自己 的 DNS 服务 器 上 ， 本 章 稍 后 谈 到 服务 器 设 定 后 ， 使 用 这 个 选项 
就 能 够 读 取 相关 的 数据 了 。 


e nslookup 


[root@www ~]# nslookup [FQDN] [server] 

[root@www ~]# nslookup 

选项 与 参数 : 

1\， 可 以 直接 在 nslookup 加 上 待 查询 的 主机 名 或 者 是 IP ，[server] 可 有 可 无 ; 

2\， 如 果 在 nslookup 后 面 没 有 加 上 任何 主机 名 或 ITP ， 那 将 进入 nslookup 的 查询 功能 
在 nslookup 的 查询 功能 当中 ， 可 以 输入 其 他 参数 来 进行 特殊 查询 ， 例 如 : 
set type=any : 列 出 所 有 的 信息 『 正 解 方面 配置 文件 J 
set type=mx  : 列 出 与 mx 相关 的 信息 | 


# 1\， 直 接 搜 寻 mail.ksu.edu.tw 的 IP 信息 

[root@www ~]# nslookup mail.ksu.edu.tw 

Server: 168.95.1.1 

Address: 168.95.1,1#53 &lt;== 还 是 请 特别 注意 DNS 的 IP 是 否 正确 ! 


Non-authoritative answer : 


Name : mail.ksu.edu.tw 
Address: 120.114.100.20 &1lt;== 回 报 IP 给 你 哩 |! 


nslookup 可 单纯 的 将 hostname 与 IP 对 应 列 出 而 已 ， 不 过 ， 还 是 会 将 查询 的 DNS 主机 的 IP 
列 出 来 的 ! 如 果 想 要 知道 更 多 详细 的 参数 ， 那 可 以 直接 进入 nslookup 这 个 软件 的 操作 画面 
中 ， 如 下 范例 : 


[root@www ~]# nslookup &lLt;== 进 入 nslookup 查询 画面 


&gt; 120.114.100.20 &1t ;== 执 行 反 解 的 查询 

&gt; www.ksu.edu.tw &1t ;== 执 行 正解 的 查询 

# 上 面 这 两 个 仅 列 出 正 反 解 的 信息 ， 没 有 啥 了 不 起 的 地 方 啦 ! 

&gt; set type=any &lt ;== 变 更 查询 ， 不 是 仅 有 A， 全 部 信息 都 列 出 来 
&gt; www.ksu.edu.tw 

Server: 168.95.1.1 

Address: 168.95.1.1#53 


Non-authoritative answer: 
Name : www.ksu.edu.tw 
Address: 120.114.100.101 &1lt;== 这 是 答案 


Authoritative answers can be found from: &lt;== 这 是 相关 授权 DNS 说 明 
ksu.edu.tw nameserver = dns2.ksu.edu.tw. 

ksu.edu.tw nameserver = dnsi.ksu.edu.tw. 

dnsi.ksu.edu.tw internet address 120.114.50.1 

dns2.ksu.edu.tw internet address 120.114.150.1 

&gt; exit &1t;== 离 开 吧 ! 皮卡 丘 


在 上 面 的 案例 当中 ， 请 注意 ， 如 果 你 在 nslookup 的 查询 画面 当中 ， 输 入 set type=any 或 其 他 
参数 ， 那 么 就 无 法 再 进行 反 解 的 查询 了 ! 这 是 因为 any 或 者 是 mx 等 等 的 标志 都 是 记录 在 正 
解 zone 当中 的 缘故 | 


。 dig (未 来 的 主流 ， 请 爱 用 他 ! ) 


[root@www ~]# dig [options] FQDN [@server] 
选项 与 参数 : 
@server : 如 果 不 以 /etc/resolv.conf 的 设 定 来 作为 DNS 查询 ， 可 在 此 境 入 其 他 的 IP 
options : 相关 的 参数 很 多 ， 主 要 有 +trace，-t type 以 及 -x 三 者 最 常用 
+trace :就 是 从 ， 开始 追踪 ， 在 19.1.2 里 面谈 过 了 | 回头 瞧 瞧 去 ! 
-t type : 查询 的 数据 主要 有 mx，ns，Soa 等 类 型 ， 相 关 类 型 19.4 来 介绍 
SX : 查询 反 解 信息 ， 非 常 重要 的 项 目 ! 


# 1\， 使 用 默认 值 查询 linux.vbird.org 吧 ! 

[root@www ~]# dig linux.vbird,.org 

; &lt;&lt;&gt;&gt; DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 &lt;&]lt;&gt;&gt; linux.vbird,.or 
;; global options: +cmd 

;; GOot answer : 

;; -&gt;&gt;HEADER&1t;&1t;- opcode: QUERY, status: NOERROR, id: 37415 

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 


;; QUESTION SECTION: &1t ;== 提 出 的 问题 的 部 分 

;linux.vbird.org. IN A 

;; ANSWER SECTION: @&1lt;== 主 要 的 回答 阶段 

linux.vbird.org. 600 IN A 140.116.44.180 
;; AUTHORITY SECTION: &1t ;== 其 他 与 此 次 回答 有 关 的 部 分 

vbird,.org. 600 IN NS dns.vbird.org. 
vbird,.org. 600 IN NS dns2.vbird.org. 


;; Query time: 9 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 
;; WHEN: Thu Aug 4 14:12:26 2011 

;; MSG SIZE rcvd: 86 


二 "| 
在 这 个 范例 当中 ， 我 们 可 以 看 到 整个 显示 出 的 讯息 包括 有 几 个 部 分 : 


。 QUESTION( 问 题 ) : 显示 所 要 查询 的 内 容 ， 因 为 我 们 是 查询 linux.vbird.org 的 IP， 所 以 这 
里 显示 A (Address) ; 
。 ANSWER( 回 答 ) : 依据 刚刚 的 QUESTION 去 查询 所 得 到 的 结果 ， 答 案 就 是 回答 IP 啊 ! 
. THR : 由 这 里 我 们 可 以 知道 linux.vbird.org 是 由 哪 部 DNS 服务 器 所 提供 的 
答案 ! 结果 是 dns.vbird.org 及 dns2.vbird.org 这 两 部 主机 管理 的 。 另 外 ， 那 个 600 是 啥 
吹 吹 ?图 19.1-4 提 到 过 的 流程 ， 就 是 允许 查询 者 能 够 保留 这 笔记 录 多 久 的 意思 ( 快 取 )， 
在 linux.vbird.org 的 设 定 中 ， 预 设 可 以 保留 600 秒 。 


# 2\， 查询 Linux.vbird.org 的 SOA 相关 信息 吧 ! 

[root@www ~]# dig -t soa linux.vbird.org 

; &lt;&lt;&gt;&gt; DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 .0.1 &lt;&]lt;&gt;&gt; -t soa linux.v 
;; global options: +cmd 

;; Got answer : 

;; -&gt;&gt;HEADER8S1t;&1t;- opcode: QUERY, status: NOERROR, id: 57511 

;; flags: qr rd ra; QUERY: 1, ANSWER: ©, AUTHORITY: 1, ADDITIONAL: 0 


;; QUESTION SECTION: 
;linux.vbird.org. IN SOA 


;; AUTHORITY SECTION: 
vbird.org. 600 IN SOA dns.vbird.org. root.dns.vbird.org. 
2007091402 28800 7200 720000 86400 


;; Query time: 17 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 
;; WHEN: Thu Aug 4 14:15:57 2011 

;; MSG SIZE rcvd: 78 


ss 


由 于 dig 的 输出 信息 实在 是 太 丰 富 了 ， 又 分 成 多 个 部 分 去 进行 回报 ， 因 此 很 适合 作为 DNS 追 
踪 回 报 的 一 个 指令 呢 1 你 可 以 透 过 这 个 指令 来 了 解 一 下 你 所 设 定 的 DNS 数据 库 是 否 正确 ， 
并 进行 除 错 喔 ! ^^ 人 1! 此 外 ， 你 也 可 以 透 过 『 -ttype J」 的 功能 去 查询 其 他 服务 器 的 设 定 值 ， 
可 以 方便 你 进行 设 定 DNS 服务 器 时 的 参考 喔 ! 正解 查询 完毕 ， 接 下 来 玩 一 玩 反 解 吧 ! 





# 3\， 查询 120.114.100.20 的 反 解 信息 结果 

[root@www ~]# dig -x 120.114.100.20 

; &lt;&lt;&gt;&gt; DiG 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 &lt;&]lt;&gt;&gt; -x 120.114.100 
;; global options: +cmd 

;; GOot answer : 

;; -&gt;&gt;HEADER8S1t;&1t;- opcode: QUERY, status: NOERROR, id: 60337 

;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3 


;; QUESTION SECTION: 


;20.100.114.120.in-addr .arpa. IN PTR 

;; ANSWER SECTION: 

20.100.114.120.in-addr .arpa. 3600 IN PTR mail-out-r2.Kksu,.edu.tw. 
20.100.114.120.in-addr .arpa. 3600 IN PTR mail-smtp-proxy.ksu.edu.tw. 
20.100.114.120.in-addr .arpa. 3600 IN PTR mail.ksu.edu.tw. 

;; AUTHORITY SECTION: 

100.114.120.in-addr.arpa. 3600 IN NS dns1.ksu.edu. tw. 
100.114.120.in-addr.arpa. 3600 IN NS dns3.twaren.net. 
100.114.120.in-addr.arpa. 3600 IN NS dns2.ksu.edu.tw. 


;; ADDITIONAL SECTION: 


dnsi1.ksu.edu.tw. 3036 IN A 120.114.50.1 
dns2.ksu.edu.tw. 2658 IN A 120.114.150.1 
dns3. twaren.net. 449 IN A 211.79.61.47 


;; Query time: 29 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 
;; WHEN: Thu Aug 4 14:17:58 2011 

;; MSG SIZE rcvd: 245 





反 解 相当 有 趣 ! 从 上 面 的 输出 结果 来 看 ， 反 解 的 查询 目标 竞 然 从 120.114.100.20 变 成 了 
20.100.114.120.in-addr.arpa. 这 个 模样 一 这 是 哈 鬼 东西 ?不 要 怕 ， 这 等 我 们 讲 到 反 解 时 再 跟 
大 家 进一步 解释 。 你 现在 要 知道 的 是 ， 反 解 的 查询 领域 名 ， 跟 正解 不 太一 样 即 可 ， 尤 其 是 那 


个 怪异 的 in-addr.arpa. 结尾 的 数据 ， 可 以 先 记 下 来 。 


19.2.3 查询 领域 管理 者 相关 信息 : whois 


上 个 小 节 谈 到 的 是 主机 名 的 正 反 解 查询 指令 ， 1 道 整个 领域 的 设 定 ， 使 用 的 是 
『 host -| 领域 名 」 去 查 ， 那 如 果 你 想 要 知道 的 是 『 这 个 领域 是 谁 管 的 」 的 信息 呢 ? 那 就 得 要 
使 用 whois 这 个 指令 才 行 嘿 ! 在 CentOS 6.x 当中 ，whois 是 由 jwhois 这 个 软件 提供 的 ， 因 
此 ， 如 果 找 不 到 whois 时 ， 请 用 yum 去 安装 这 个 软件 吧 ! 


e Whois 


[root@www ~]# whois [domainname]  &lLt;== 注 意 啊 1 是 domain 而 不 是 hostname 
[root@www ~]# whois centos .org 

[Querying whois.publicinterestregistry.net] 

[whois. publicinterestregistry. net] 

# 这 中 间 是 一 堆 whois 服务 器 提供 的 讯息 告知 ! 底下 是 实际 注册 的 数据 

Domain ID:D103409469-LROR 

Domain Name:CENTOS.ORG 

Created On:04-Dec-2003 12:28:30 UTC 

Last Updated On:05-Dec-2010 01:23:25 UTC 

Expiration Date:04-Dec-2011 12:28:30 UTC &1t;== 记 载 了 建立 与 与 失效 的 日 期 
Sponsoring Registrar:Key-Systems GmbH (R51-LROR) 

Status:CLIENT TRANSFER PROHIBITED 

Registrant ID:P-8686062 

Registrant Name:CentOS Domain Administrator 

Registrant Organization:The CentOSsS Project 

Registrant Streeti:Mechelsesteenweg 170 

# 底下 则 是 一 堆 联络 方式 ， 鸟 哥 将 它 取 消 了 ， 免 得 多 占 篇 幅 ~ 


whois 这 个 指令 可 以 查询 到 当初 注册 这 个 domain 的 用 户 的 相关 人 信息。 不过， 由 于 近年 来 很 多 
网 络 信息 安全 的 问题 ， 这 个 whois 所 提供 的 信息 站 的 是 太 详细 了 ， 为 了 保护 使 用 者 的 隐私 
权 ， 所 以 ， 目 前 这 个 whois 所 查询 到 的 信息 已 经 不 见得 是 完全 正确 的 了 一 而且 ， 在 显示 出 
whois 的 信息 之 前 ， ee 段 宣 告 事项 的 告知 呢 一 ^ 人 ^y 


如 果 使 用 whois 来 检查 鸟 哥 所 注册 的 合法 domain 会 是 如 何 呢 ? 了 看 看 : 


[root@www ~]# whois vbird.idv.tw 

[Querying whois.twnic.net] 

[whois. twnic.net] &1t ;== 这 个 whois 服务 器 查 到 的 数据 
Domain Name: vbird.idv,tw  &1lt;== 这 个 domain 的 信息 


Contact: &1t ;== 联 络 者 的 联络 方式 
Der-Min Tsai 
vbird@pc510.ev.ncku.edu.tw 


Record expires on 2018-09-17 (YYYY-MM-DD) 
Record created on 2002-09-13 (YYYY-MM-DD) 


Registration Service Provider: HINET 


呵呵 | 这 个 domain 会 在 2018/09/17 失效 的 意思 啦 ! 报告 完毕 ! 无 论 如 何 ， 我 们 都 可 以 透 过 
nslookup, host, dig 等 等 的 指令 来 查询 主机 名 与 IP 的 对 应 ， 这 些 指 令 的 用 法 可 以 请 你 以 man 
command 来 查询 更 多 的 用 法 哩 ! 


19.3 DNS 服务 并 的 软件 、 种 类 与 cache only DNS 服 
务 器 设 定 


谈 完 了 一 些 基 础 概念 后 ， ps 受 定好 DNS 服务 器 啊 ? 这 当然 就 得 
由 软件 安装 谈 起 啦 | 在 这 个 ， 我 们 先 不 要 谈 DNS 记录 的 正 反 解 吹 吹 ， 只 讲 到 hint 这 个 . 
(root) 的 zone， 谈 一 谈 最 简 决 取 的 DNS 服务 器 (Caching only DNS server) 吧 |! 


19.3.1 架设 DNS 所 需要 的 软件 


终于 废话 都 说 完了 |! 相信 你 大 概 也 有 点 累 的 吧 ? 乌 可 是 变 累 的 啦 ， 因 为 手臂 、 肩 颈 酸 痛 

病 颇 严重 ..…. 喷 ! 讲 这 个 干 嘛 ? @ @ 好 啦 ， 我 们 终于 要 来 安装 DNS 所 需要 的 软件 了 ! 还 记得 

前 面 提 过 的 ， 我 们 要 使 用 的 DNS A 克 莱 大 学 发 展 出 来 的 BIND (Berkeley 

Ee Name Domain, BIND) 这 个 啦 ! 那么 怎么 知道 你 安装 了 没 ? 不 就 是 rpm 与 yum 吗 ? 
己 查 查看 。 


[root@www ~]# rpm -qa &#124; grep '^bind' 
bind-libs-9.7.0-5.P2.e16_0.1.x86_64  ”&1lt;== 给 bind 与 相关 指令 使 用 的 函 式 库 
bind-utils-9.7.0-5.P2.e16_0.1.x86_64 &1lt;== 这 个 是 客户 端 搜寻 主机 名 的 相关 指令 
bind-9.7.0-5.P2.e16 0.1.x86 64 &1t ;== 就 是 bind 主 程序 所 需 软 件 
bind-chroot-9.7.0-5.P2.e16 0.1.x86_ 64 &lt;== 将 bind 主 程序 关 在 家 里 面 ! 


上 面 比 较 重 要 的 是 那个 『 bind-chroot 」 啦 1 所 谓 的 chroot 代表 的 是 『 change to root( 根 目 

录 ) 」 的 意思 ，root 代表 的 是 根 目 录 。 早 期 的 bind 默认 将 程序 启动 在 varnamed 当中 ， 但 是 
该 程序 可 以 在 根 目 录 下 的 其 他 目录 到 处 转移 ， 因 此 若 bind 的 程序 有 问题 时 ， 则 该 程序 会 造成 
整个 系统 的 危害 。 为 避免 这 个 问题 ， 所 以 我 们 将 某 个 目录 指定 为 bind 程序 的 根 目 录 ， 由 于 已 
经 是 根 目录 ， 所 以 bind 便 不 能 离开 该 目录 ! 所 以 若 该 程序 被 攻击 ， 了 不 起 也 是 在 茶 个 特定 目 
录 底 下 搞 破坏 而 已 。 CentOS 6.x 默认 将 bind 锁 在 /varnamed/chroot 目录 中 喔 1! 


我 们 主 程 序 是 由 bind, bind-chroot 所 提供 ， 那 前 一 小 节 提 到 的 ， 每 部 DNS 服务 器 都 要 有 的 . 
(root) 这 个 zone file 在 哪里 ? 它 也 是 由 bind 所 提供 的 喔 1 (CentOS 4.x, 5.x 所 提供 的 
caching-nameserver 软件 并 不 存在 CentOS 6.x 当中 了 喔 ! 已 经 被 涵盖 于 bind 软件 内 ! ) 


19.3.2 BIND 的 默认 路 径 设 定 与 chroot 
要 架设 好 BIND 需要 什么 设 定数 据 呢 ? 基 本 上 有 两 个 主要 的 数据 要 处 理 : 


。 BIND 本 身 的 配置 文件 : 主要 规范 主机 的 设 定 、zone file 的 所 在 、 权 限 的 设 
e 正 反 解数 据 库 档案 (zone file) : 记录 主机 名 与 IP 对 应 的 等 。 


BIND 的 配置 文件 为 /etc/named.conf， 在 这 个 档案 里 面 可 以 规范 zone file 的 完整 楼 名 喔 上 | 也 
就 是 说 ， 你 的 zone file 其 实 是 由 /etc/named.conf 所 指定 的 ， 所 以 zone file 档 名 可 以 随便 取 
啦 | 只 要 /etc/named.conf 内 规范 为 正确 即 可 。 一 般 来 说 ，CentOS 6.x 的 默认 目录 是 这 样 
的 : 


/etc/named.conf : 这 就 是 我 们 的 主 配置 文件 啦 ! 

/etc/sysconfig/named : 是 否 启 动 chroot 及 额外 的 参数 ， 就 由 这 个 档案 控制 ; 
/var/named/ : 数据 库 档案 默认 放置 在 这 个 目录 

/var/run/named : named 这 支 程序 执行 时 默认 放置 pid-file 在 此 目录 内 。 


/etc/sysconfig/named 与 chroot 环境 


不 过 ， 为 了 系统 的 安全 性 考虑 ， 一 般 来 说 目前 各 主要 distributions 都 已 经 自动 的 将 你 的 bind 
相关 程序 给 他 chroot 了 ! 那 你 如 何 知 道 你 chroot 所 指定 的 目录 在 哪里 呢 ? 其 实 是 记录 在 
/etc/sysconfig/named 里 面 啦 ! 你 可 以 先 查阅 一 下 : 


[root@www ~]# cat /etc/sysconfig/named 
ROOTDIR=/var/named/chroot 


事实 上 该 档案 内 较 有 意义 的 就 只 有 上 面 这 一 行 ， 意 思 是 说 : 『 我 要 将 named 给 他 chroot ， 
并 且 变 更 的 根 目录 为 /varnamed/chroot 」 喔 ! 由 于 根 目 录 已 经 被 变更 到 /var/named/chroot 
了 ， 但 bind 的 相关 程序 是 需要 /etc, /var/named, /varrun ... 等 目录 的 ， 所 以 实际 上 咱们 bind 
的 相关 程序 所 需要 的 所 有 数据 会 是 在 : 


e /var/lnamed/chroot/etc/named.conf 


/varnamed/chroot/varnamed/zone file1 


/var/Inamed/chroot/var/Inamed/zone file..... 
e /var/lnamed/chroot/var/run/named/... 


哇 | 昌 是 好 麻烦 ~ 不 过 ， 不 要 太 担 心 ! 因为 新 版 本 的 CentOS 6.x 已 经 将 chroot 所 需要 使 用 
到 的 目录 ， 透 过 mount --bind 的 功能 进行 目录 链接 了 (参考 /etc/init.d/named 内 容 )， 举 例 来 
说 ， 我 们 需要 的 /var/named 在 启动 脚本 中 透 过 mount --bind /var/named 
/Var/named/chroot/var/named 进行 目录 绑 定 嚼 ! 所 以 在 CentOS 6.x 当中 ， 你 根本 无 须 切 换 
至 varnamed/chroot/ 了 ! 使 用 正规 的 目录 即 可 喔 ! 就 是 这 样 简单 ! ^ ^ 


Tips: 事实 上 ，/etc/sysconfig/named 是 由 /etc/init.d/named 局 动 时 所 读 入 的 ， 所 以 你 也 可 以 
直接 修改 /etc/init.d/named 这 个 script 哩 ! 


19.3.3 单纯 的 cache-only DNS 服务 器 与 forwarding 功能 


在 下 一 小 节 开 始 介绍 正 、 反 解 zone 的 数据 设 定之 前 ， 在 这 个 小 节 当 中 ， 我 们 先 来 谈 一 个 单纯 
修改 配置 文件 ， 而 不 必 设 计 zone file 的 环境 ， 那 就 是 不 具有 自己 正 反 解 zone 的 仅 进 行 快 取 
的 DNS 服务 器 。 


。 什么 是 cache-only 与 forwarding DNS 服务 器 呢 ? 


有 个 只 需要 . 这 个 zone file 的 简单 DNS 服务 器 ， 我 们 称 这 种 没有 自己 公开 的 DNS 数据 库 的 
服务 器 为 cache-only ( 仅 快 取 ) DNS server ! 顾名思义 ， 这 个 DNS server 只 有 快 取 搜寻 结果 
的 功能 ， 也 就 是 说 ， 他 本 身 并 没有 主机 名 与 IP 正 反 解 的 配置 文件 ， 完 全 是 由 对 外 的 查询 来 提 
供 他 的 数据 源 ! 


那 如 果 连 . 都 不 想 要 呢 ? 那 就 得 要 指定 一 个 上 层 DNS 服务 器 作为 你 的 forwarding ( 转 递 ) 目 

标 ， 将 原本 自己 要 往 . 查询 的 任务 ， 委 给 上 层 DNS 服务 器 去 烦恼 即 可 。 如 此 一 来 ， 我 们 这 部 
具有 forwarding 功能 的 DNS 服务 器 ， 甚 至 连 . 都 不 需要 了 | 因为 . 有 记录 在 上 层 DNS 上 头 
了 嘛 ! 


如 同 刚刚 提 到 的 ，cache only 的 DNS 并 不 存在 数据 库 (其 实 还 是 存在 . 这 个 root 领域 的 zone 
file)， 因 此 不 论 是 谁 来 查询 数据 ， 这 部 DNS 一 律 开始 从 自己 的 快 取 以 及 . 找 起 ， 整 个 流程 与 
图 19.1-4 相同 。 那 如 果 具 有 forwarding 功能 呢 ? 果 昌 如 此 ， 那 即使 你 的 DNS 具有 .这 个 
zone file， 这 部 DNS 还 是 会 将 查询 权 『 委 请 〗 上层 DNS 查询 的 ， 这 部 DNS 服务 器 当场 变 成 


客户 端 啦 ! 查询 流程 会 变 这 样 喔 : 





县 有 forwarding 
DNS Server 






SS 
TI ,ksu,edu,tw edu.tw 图 19.3-1、 具有 forwarding 功能 的 
DNS 服务 器 查询 方式 


观察 上 图 的 查询 方向 ， 你 会 发 现 到 ， 具 有 forwarding 机 制 时 ， 查 询 权 会 委 请 上 层 DNS 服务 器 
来 处 理 ， 所 以 根本 也 不 需要 . 这 个 位 置 所 在 的 zone 啦 。 一 般 来 说 ， 如 果 你 的 环境 需要 架设 一 
个 cache-only 的 DNS 服务 器 时 ， 其 实 可 以 直接 加 上 forwarding 的 机 制 ， 让 查询 权 指 向 上 层 
或 者 是 流量 较 大 的 上 层 DNS 服务 器 即 可 。 那 既然 cache only 的 服务 器 并 没有 数据 库 ， 
forwarding 机 制 甚至 不 需要 . 的 zone ， 那 干 嘛 还 得 要 架设 这 样 的 DNS 呢 ? 是 有 理由 的 啦 ! 


。 什么 时 候 有 架设 cache-only DNS 的 需求 ? 


在 某 些 公司 行 号 里 头 ， 为 了 预防 员工 利用 公司 的 网 络 资源 作 自己 的 事情 ， 所 以 都 会 针对 
Internet 的 联机 作 比 较 严格 的 限制 。 当 然 啦 ， 连 port 53 这 个 DNS 会 用 到 的 port 也 可 能 会 被 
挡 在 防火 墙 之 外 的 一 这 个 时 候 ， 你 可 以 在 『 防 火 墙 的 那 部 机 器 上 面 ， 加 装 一 个 cache-only 的 
DNS 服务 ! 4 


这 是 什么 意思 呢 ? 很 简单 啊 ! 就 是 你 自己 利用 自己 的 防火 墙 主机 上 的 DNS 服务 去 帮 你 的 
Client 端 解 译 hostname <--> IP 鹃 ! 因为 防火 墙 主 机 可 以 设 定 放行 自己 的 DNS 功能 ， 而 
Client 端 就 设 定 该 防火 墙 IP 为 DNS 服务 器 的 IP 即 可 |! 哈哈 1 这 样 就 可 以 取得 主机 名 与 IP 的 
转译 啦 ! 所 以 ， 通 常 架设 cache only DNS 服务 器 大 都 是 为 了 系统 安全 嘿 。 


。 实际 设 定 cache-only DNS server 


那 如 何在 你 的 Linux 主机 上 架设 一 个 cache-only 的 DNS 服务 器 呢 ? 其实 丨 的 很 简单 的 啦 ! 
因为 不 需要 设 定 正 反 解 的 zone (只 需要 . 的 zone 支持 即 可 )， 所 以 只 要 设 定 一 个 档案 (就 是 
named.conf 主 配 置 文件 ) 即 可 ! 丨 是 快乐 得 不 得 了 呐 ! 另外 ，cache-only 只 要 加 上 个 
forwarders 的 设 定 即 可 指定 forwarding 的 数据 ， 所 以 底下 我 们 将 设 定 具有 forwarding 的 
cache-only DNS 服务 器 吧 | 


1. 编辑 主要 配置 文件 : /etc/named.conf 


虽然 我 们 具有 chroot 的 环境 ， 不 过 由 于 CentOS 6.x 已 经 透 过 局 动 脚本 帮 我 们 进行 档案 
与 目录 的 挂 载 链接 ， 所 以 请 你 直接 修改 /etc/named.conf 即 可 唤 ! 不 要 再 去 
/var/named/chroot/etc/named.conf 修改 啦 ! 在 这 个 档案 中 ， 主 要 是 定义 跟 服务 器 环境 有 
关 的 设 定 ， 以 及 各 个 zone 的 领域 及 数据 库 所 在 文件 名 。 在 鸟 哥 的 这 个 案例 当中 ， 因 为 
使 用 了 forwarding 的 机 制 ， 所 以 这 个 cache-only DNS 服务 器 并 没有 zone ( 连 . 都 没 

有 )， 所 以 我 们 只 要 设 定好 跟 服 务 器 有 关 的 设 定 即 可 。 设 定 这 个 档案 的 时 候 请 注意 : 


o 批注 数据 是 放置 在 两 条 斜 线 『// J 后 面 接 的 数据 

o 每 个 段落 之 后 都 需要 以 分 号 『 ;J」 来 做 为 结尾 ! 乌 哥 将 这 个 档案 再 简化 如 下 的 样 
式 : 

[root@www ~]# cp /etc/named.conf /etc/named.conf.raw 

[root@www ~]# vim /etc/named.conf 


// 在 预 设 的 情况 下 ， 这 个 档案 会 去 读 取 /etc/named.rfc1912.zones 这 个 领域 定义 档 
// 所 以 请 记得 要 修改 成 底下 的 样式 啊 ! 








options { 
listen-on port 53 { any; }; // 可 不 设 定 ， 代 表 全 部 接受 
directory "/var/named"; // 数 据 库 默认 放置 的 目录 所 在 
dump-file "/var/named/data/cache_dump.db"; // 一 些 统计 信息 
statistics-file "/var/named/data/named_ stats.txt"; 
memstatistics-file "/var/named/data/named mem_ stats.txt"; 
allow-query { any; }; // 可 不 设 定 ， 代 表 全 部 接受 
recursion yes; // 将 自己 视 为 客户 端的 一 种 查询 模式 
forward only; // 可 暂时 不 设 定 
forwarders { // 是 重点 ! 
168.95.1.1; // 先 用 中 华电 信 的 DNS 当 上 层 
139.175.10.20; // 再 用 seednet 当 上 层 


号 
}; /7/ 最 终 记 得 要 结尾 符号 ! 


鸟 哥 将 大 部 分 的 数据 都 予以 删除 ， 只 将 少 部 分 保留 的 数据 加 以 小 部 分 的 修订 而 已 。 在 
named.conf 的 结构 中 ， 与 服务 器 环境 有 关 的 是 由 options 这 个 项 目 内 容 设 定 的 ， 因 为 
options 里 面 还 有 很 多 子 参数 ， 所 以 就 以 大 括号 {} 包 起 来 哆 。 至 于 options 内 的 子 参数 
在 上 面 提 到 的 较 重 要 的 项 目 简单 叙述 如 下 : 


o listen-on port 53 { any; }; 监听 在 这 部 主机 系统 上 面 的 哪个 网 络 接口 。 预 设 是 监听 在 
localhost， 亦 即 只 有 本 机 可 以 对 DNS 服务 进行 查询 ， 那 当然 是 很 不 合理 响 | 所 以 这 
里 要 将 大 括号 内 的 数据 改写 成 any。 记 得 ， 因 为 可 以 监听 多 个 接口 ， 因 此 any 后 面 
得 要 加 上 分 号 才 算 结 束 喔 ! 另外 ， 这 个 项 目 如 果 忘 记 写 也 没有 关系 ， 因 为 默认 是 对 
整个 主机 系统 的 所 有 接口 进行 监听 的 。 


o directory "varnamed"; 意思 是 说 ， 如 果 此 档案 底下 有 规范 到 正 、 反 解 的 zone file 档 
名 时 ， 该 档 名 预 设 应 该 放置 在 哪个 目录 底下 的 意思 。 预 设 放置 到 /varnamed/ 底下 。 
由 于 chroot 的 关系 ， 最 终 这 些 数据 库 档案 会 被 主动 链接 到 
/Var/named/chroot/var/named/ 这 个 目录 。 


o dump-file, statistics-file, memstatistics-file 与 named 这 个 服务 有 关 的 许多 统计 信 
息 ， 如 果 想 要 输出 成 为 档案 的 话 ， 预 设 的 档 名 就 如 上 所 述 。 乌 哥 自己 很 少 看 这 些 统 
计 资 料 ， 所 以 ， 这 三 个 设 定 值 写 不 写 应 该 都 是 没有 关系 的 。 


o allow-query {any; ); 这 个 是 针对 客户 端的 设 定 ， 到 底 谁 可 以 对 我 的 DNS 服务 提出 查 
询 请 求 的 意思 。 原 本 的 档案 内 容 预 设 是 针对 localhost 开放 而 已 ， 我们 这 里 改 成 对 所 
有 的 用 户 开放 (当然 啦 ， 防 火 墙 也 得 放行 才 行 )。 不 过 ， 预 设 DNS 就 是 对 所 有 用 户 放 
行 ， 所 以 这 个 设 定 值 也 可 以 不 用 写 。 


o forward only ; 这 个 设 定 可 以 让 你 的 DNS 服务 器 仅 进 行 forward， 即 使 有 . 这 个 zone 
file 的 设 定 ， 也 不 会 使 用 . 的 资料 ， 只 会 将 查询 权 交 给 上 层 DNS 服务 器 而 已 ， 是 
cache only DNS 最 常见 的 设 定 了 | 


o forwarders { 168.95.1.1; 139.175.10.20; } ; 既然 有 forward only， 那 么 到 底 要 对 哪 部 
上 层 DNS 服务 器 进行 转 递 呢 ? 那 就 是 forwarders (不 要 忘记 那个 S) 设 定 值 的 重要 性 
了 ! 由 于 担心 上 层 DNS 服务 器 也 可 能 会 挂 点 ， 因 此 可 以 设 定 多 部 上 层 DNS 服务 器 
喔 ! 每 一 个 forwarder 服务 器 的 IP 都 需要 有 『 ; 」 来 做 为 结尾 1! 很 简单 吧 ! 至 于 更 
多 的 参数 我 们 会 在 后 续篇 幅 当 中 慢 慢 介绍 的 。 这 样 就 已 经 设 定 完 成 了 最 简单 的 
cache only DNS server 了 ! 


2. 启动 named 并 观察 服务 的 起 口 


启动 总 不 会 忘记 吧 ? 赶快 去 启动 一 下 吧 ! 同时 启动 完毕 之 后 ， 观 察 一 下 由 named 所 开局 
的 埠 口 ， 看 看 到 底 哪些 埠 口 会 被 DNS 用 到 的 ! 


# 1\， 启动 一 下 DNS 这 玩意 儿 1! 

[root@www ~]# /etc/init.d/named start 
Starting named: [ 
[root@www ~]# chkconfig named on 


oK ] 


# 2\， 到底 用 了 多 少 埠 口 呢 ? 
[root@www ~]# netstat -utlnp &#124; grep named 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 © 192.168.100.254:53 0.0.0.0:* LISTEN 3140/named 
tcp 0 © 192.168.1.100:53 0.0.0.0:* LISTEN 3140/named 
tcp 0 OOET2ZIRORORTA5S 0.0.0.0:* LISTEN 3140/named 
tcp 0 © 127.0.0.1:953 0.0.0.0:* LISTEN 3140/named 
tcp 0 0 :953 2 LISTEN 3140/named 
udp 0 © 192.168.100.254:53 0.0.0.0:* 3140/named 
udp 0 © 192.168.1.100:53 0.0.0.0:* 3140/named 
udp 0 90 127.0.0.1:53 0.0.0.0:* 3140/named 


我 们 知道 DNS 会 同时 启用 UDP/TCP 的 port 53， 而 且 是 针对 所 有 接口 ， 因 此 上 面 的 数 
据 并 没有 什么 特异 的 部 分 。 不 过 ， 怎 么 会 有 port 953 0 ? 其 实 那 是 
named 的 远程 控制 功能 ， 称 为 远程 名 称 解析 服务 控制 功 ee name daemon 
control, ye 。 预 设 的 情况 下 ， 仅 有 本 机 可 以 针对 rndc 和 。 我 们 会 在 后 续 的 章节 再 
来 探讨 这 个 rndc 啦 ， 目 前 我 们 只 要 知道 UDP/TCP port 53 动 即 可 。 


( 极 重 要 ! ) 


检查 /var/log/messages 的 内 容 讯息 


named 这 个 服务 的 记录 文件 就 
里 面 的 几 行 登录 信息 吧 


直接 给 他 放置 在 /varlog/messages 里 面 啦 ， 所 以 来 看 看 


[root@www ~]# tail -n 30 /var/log/messages &#124; grep named 
Aug 4 14:57:09 www named[3140]: starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 -u 
-t /var/named/chroot &1lt;== 说 明 的 是 chroot 在 哪个 目录 下 |! 


Aug 4 14:57:09 www named[3140]: adjusted limit on open files from 1024 to 1048576 
Aug 4 14:57:09 www named[3140]: found 1 CPU, using 1 worker thread 

Aug 4 14:57:09 www named[3140]: using up to 4096 sockets 

Aug 4 14:57:09 www named[3140]: loading configuration from '/etc/named.conf' 

Aug 4 14:57:09 www named[3140]: using default UDP/IPVv4 port range: [1024, 65535] 
Aug 4 14:57:09 www named[3140]: using default UDP/IPVv6 port range: [1024, 65535] 
Aug 4 14:57:09 www named[3140]: listening on IPv4 interface lo, 127.0.0.1#53 

Aug 4 14:57:09 www named[3140]: listening on IPv4 interface eth0，192.168.1.100#53 
Aug 4 14:57:09 www named[3140]: listening on IPv4 interface ethi1i, 192.168.100.254#5: 
Aug 4 14:57:09 www named[3140]: generating session key for dynamic DNS 

Aug 4 14:57:09 www named[3140]: command channel listening on 127.0.0.1#953 

Aug 4 14:57:09 www named[3140]: command channel listening on ::1#953 

Aug 4 14:57:09 www named[3140]: the working directory is not writable 

Aug 4 14:57:09 www named[3140]: running 


用 ES 


上 面 最 重要 的 是 第 
格 中 特殊 字体 的 部 分 


一 行 出 现 的 『-t... 


/var/named/etc/named.conf 的 意思 


某 个 档案 内 的 第 十 行 有 问题 的 


忌 tay 


意 盏 ， 





了 那个 项 目 指出 你 的 chroot 目录 咖 。 另 外 ， 上 面 表 
， 有 写 到 a /etc/named.conf， 代 表 可 以 顺利 的 加 载 


。 如 果 上 面 有 出 现 冒 号 后 面 接 数字 (:10) ， 那 就 代表 
ee 


启动 ， 但 有 可 能 DNS 服务 是 错误 的 ， 此 时 这 个 登录 档 就 显 的 非常 重要 | 每 次 重新 局 
DNS 后 ， 请 务必 查阅 一 下 这 个 档案 


的 内 容 ! | 


Tips: 如 果 你 在 /var/log/messages 里 面 一 直 看 到 这 样 的 错误 信息 : couldnt add 
command channel 127.0.0.1#953: not found 那 表示 你 还 必需 要 加 入 rndc key ， 请 参考 
本 章 后 面 的 利用 RNDC 指令 管理 DNS 服务 器 的 介绍 ， 将 他 加 入 你 的 named.conf 中 ! 


测试 : 


一 人 


如 果 你 的 DNS 伺服 器 具有 连 上 因特网 的 功能 ， 那 么 透 过 『 dig www.google.com 
@127.0.0.14 这 个 基本 指令 执行 看 看 ， 如 果 有 找到 google 的 IP ， 并 且 输 出 数据 的 最 底 
下 显示 『 SERVER: 127.0.0.1#53(127.0.0.1) 4 的 字样 ， 那 就 代表 应 该 是 成 功 啦 | 其 他 
更 详细 的 测试 请 参考 : 19.2 小 节 的 内 容 


2. 特别 说 明 : Forwarders 的 好 处 与 问题 分 析 
关于 forwarder 的 好 处 与 坏处 ， 其 实 有 很 多 种 的 意见 ! 大 致 的 意见 可 分 为 这 两 派 : 
e。 利用 Forwarder 的 功能 来 增进 效能 的 理论 : 


这 些 朋友 们 认为 ， 当 很 多 的 下 层 DNS 服务 器 都 使 用 forwarder 时 ， 那 么 那个 被 设 定 为 
forwarder 的 主机 ， 由 于 会 记录 很 多 的 查询 信息 记录 (请 参考 图 19.1-4 的 说 明 )， 因 此 ， 对 
于 那些 下 层 的 DNS 服务 器 而 言 ， 查 询 速度 会 增 快 很 多 ， 亦 即 会 节省 很 多 的 查询 时 间 ! 
为 forwarder 服务 器 里 面 有 较 多 的 快 取 记 录 了 ， 所 以 包括 forwarder 本 身 ， 以 及 所 有 向 这 
部 forwarder 要 求 数据 的 DNS 服务 器 ， 都 能 够 减少 往 . 查询 的 机 会 ， 因此 速度 当然 增 
加 。 


e@ 利用 Forwarder 反而 会 使 整体 的 效能 降低 : 


但 是 另外 一 派 则 持 相反 的 见解 ! 这 是 因为 当主 DNS 本 身 的 『 业 务 量 」 就 很 繁忙 的 时 候 ， 
那么 你 的 cache only DNS 服务 器 还 向 他 要 求 数据 ， 因 为 他 原本 的 数据 传输 量 就 太 大 了 ， 
带宽 方面 可 能 负荷 不 量 ， 而 太 多 的 下 层 DNS 还 向 他 要 求 数据 ， 所 以 他 的 查询 速度 会 变 
慢 ! 因为 查询 速度 变 慢 了 ， 而 你 的 cache only server 又 是 向 他 提出 要 求 的 ， 所 以 自然 两 
边 的 查询 速度 就 会 同步 下 降 | 
很 多 种 说 法 啦 ! 鸟 哥 本 人 也 觉得 很 有 趣 哩 ! 只 是 不 知道 哪 一 派 较 正确 就 是 了 ， 不 过 可 以 知道 
的 是 ， 如 果 上 层 的 DNS 速度 很 快 的 话 ， 那 么 他 被 设 定 为 forwarder 时 ， 或 许 真 的 可 以 增加 不 
少 效能 哩 ! 


19.4 DNS 服务 器 的 详细 设 定 
好 了 ， 经 过 上 面 的 说 明 后 ， 我 们 大 概 知道 DNS 的 几 个 小 细节 是 这 样 的 : 


1. DNS 服务 器 的 架设 需要 上 层 DNS 的 授权 才 可 以 成 为 合法 的 DNS 服务 器 (否则 只 是 练 

功 ) ; 

配置 文件 位 置 : 目前 bind 程序 已 进行 chroot， 相 关 目 录 可 参考 /etc/sysconfig/named ; 
named 主要 配置 文件 是 /etc/named.conf ; 

每 个 正 、 反 解 领 域 都 需要 一 个 数据 库 档案 ， 而 文件 名 则 是 由 /etc/named.conf 所 设 定 ; 

当 DNS 查询 时 ， 若 本 身 没 有 数据 库 档案 ， 则 前 往 root (.) 或 forwarders 服务 器 查询 ; 

named 是 否 启 动 成 功 务必 要 查阅 /var/log/messages 内 的 信息 | 


OoomDND 


其 中 第 一 点 很 重要 ， 因 为 我 们 尚未 向 上 层 |SP 注册 合法 的 领域 名 ， 所 以 我 们 当然 就 没有 权利 
架设 合法 的 DNS 服务 器 了 。 而 由 于 担心 我 们 的 DNS 服务 器 会 与 外 部 因特网 环境 互相 干扰 ， 
所 以 底下 鸟 哥 将 主要 以 一 个 centos.vbird 的 领域 名 来 架设 DNS 服务 器 ， 如 此 一 来 咱们 就 可 以 
好 好 的 玩 一 玩 自 己 局 域 网 络 内 的 DNS 啤 | 


19.4.1 正解 文件 记录 的 数据 (Resource Record, RR) 


既然 DNS 最 早 之 前 的 目的 就 是 要 从 主机 名 去 找到 IP， 所 以 就 让 我 们 先 从 正解 zone 来 谈 起 
吧 。 既 然 要 谈 正解 ， 那 么 就 应 该 要 了 解 正 解 档案 记录 的 信息 有 哪些 吧 ? 在 这 个 小 节 里 面 ， 我 
们 就 先 来 谈 谈 正解 zone 常常 记录 的 数据 有 哪些 吧 。 


。 正解 文件 资源 记录 (resource record, RR) 格式 


我 们 从 前 面 几 个 小 节 的 dig 指令 输出 结果 中 ， 可 以 发 现 到 一 个 有 趣 的 吹 吹 ， 那 就 是 输出 的 数据 
格式 似乎 是 固定 的 | 举例 来 说 ， 查 询 www.ksu.edu.tw 的 IP 时， 输出 的 结果 为 : 


[root@www ~]# dig www.ksu.edu.tw 


ee 罗 放 王 和 和 
;; ANSWER SECTION : 

www. ksu.edu.tw. 2203 IN A 120.114.100.101 
;; AUTHORITY SECTION: 

ksu.edu.tw. 911 IN NS dns1.ksu.edu.tw. 


ee 
# 上 面 的 输出 数据 已 经 被 简化 过 了 ， 重 点 是 要 大 家 了 解 RR 的 格式 


在 答案 的 输出 阶段 ， 主 要 查询 得 到 的 是 A 的 标志 ， 在 认证 阶段 ， 则 是 提供 ksu.edu.tw 的 NS 
服务 器 为 哪 一 部 的 意思 。 格式 非常 接近 ， 只 是 A 后 面 接 IP， 而 NS 后 面 接 主 机 名 而 已 。 我 们 
可 以 将 整个 输出 的 格式 简化 成 为 如 下 的 说 明 : 


[domain] [tt1] IN [[RR type] [RR datall] 
[ 待 查 数 据 ] [ 暂 存 时 间 ( 秒 )] IN [[ 资 源 类 型 ] [资源 内 容 ]] 


上 表 中 ， 关 键 词 IN 是 固定 的 ， 而 RRtype 与 RR data 则 是 互 有 关连 性 的 ， 例 如 刚刚 才 提 过 的 
A 就 是 接 IP 而 不 是 主机 名 啊 。 此 外 ， 在 domain 的 部 分 ， 若 可 能 的 话 ， 请 尽量 使 用 FQDN ， 
亦 即 是 主机 名 结尾 加 上 一 个 小 数 点 的 (.) 就 被 称 为 FQDN 了 ! 例如 刚刚 dig www.ksu.edu.tw 
的 输出 结果 中 ， 在 答案 阶段 时 ， 搜 寻 的 主机 名 会 变 成 www.ksu.edu.tw. 喔 ! 注意 看 最 后 面 有 
个 小 数 点 喔 ! 那个 小 数 点 非常 重要 | 


至 于 划 | 就 是 time to live 的 缩写 ， 意 思 就 是 当 这 笔记 录 被 其 他 DNS 服务 器 查询 到 后 ， 这 个 记 
录 会 保持 在 对 方 DNS 服务 器 的 快 取 中 ， 保 持 多 少 秒 钟 的 意思 。 所 以 ， 当 你 反复 执行 dig 
www.Ksu.edu.tw 之 后 ， 就 会 发 现 这 个 时 间 会 减少 1 为 什么 呢 ? 因为 在 你 的 DNS 快 取 中 ， 这 
笔 数据 能 够 保存 的 时 间 会 开始 倒数 ， 当 这 个 数字 归 堆 后， 下 次 有 人 再 重新 搜寻 这 笔记 录 时 ， 
你 的 DNS 就 会 重新 沿 着 . (root) 开始 重 来 搜寻 一 遍 ， 而 不 会 从 快 取 里 面 提取 了 (因为 快 取 内 
的 资料 会 被 舍弃 )。 


由 于 划 可 由 特定 的 参数 来 统一 控 管 ， 因 此 在 RR 的 记录 格式 中 ， 通 常 这 个 划 的 字段 是 可 以 忽 
略 的 。 那 么 常见 的 RR 有 哪些 呢 ? 我 们 将 正解 文件 的 RR 记录 格式 汇 整 如 下 : 


# 常见 的 正解 文件 RR 相关 信息 
[domain] IN [[RR type] [RR datal]] 





主机 名 . IN A IPV4 的 IP 地 址 

主机 名 . IN AAAA IPV6 的 IP 地 址 

领域 名 ， IN NS 管理 这 个 领域 名 的 服务 器 主机 名 字 . 

领域 名 ， IN SOA 管理 这 个 领域 名 的 七 个 重要 参数 ( 容 后 说 明 ) 
领域 名 ， IN MX 顺序 数字 ”接收 邮件 的 服务 器 主机 名 字 
主机 别名 ， IN CNAME 实际 代表 这 个 主机 别名 的 主机 名 字 ， 


接 下 来 我 们 以 昆山 科大 的 DNS 设 定 ， 包 括 ksu.edu.tw 这 个 领域 (domain, zone)， 以 及 
www.ksu.edu.tw 这 个 主机 名 (FQDN) 的 查询 结果 来 跟 大 家 解释 每 个 RR 记录 的 信息 为 何 哟 ! 


。 A, AAAA : 查询 IP 的 记录 


这 个 人 的 RR 类 型 是 在 查询 某 个 主机 名 的 IP， 也 是 最 长 被 查询 的 一 个 RR 标志 吕 |! 举例 来 
说 ， 要 找到 Www.ksu.edu.tw 的 A 的话， 就 是 这 样 查 : 


[root@www ~]# dig [-t a] www.ksu.edu.tw 

;; ANSWER SECTION: 

www.ksu.edu. tw. 2987 IN A 120.114.100.101 

# 主机 FQDN ， tt1 这 部 主机 的 IP 就 是 这 里 
# 仅 列 出 答案 阶段 的 资料 ， 后 续 的 RR 相关 标志 也 是 这 样 显示 的 喔 ! 

# 指令 列 中 的 [-t a] 可 以 不 加 ， 而 最 左边 主机 名 结尾 都 会 有 小 数 点 喔 ! 


左边 是 主机 名 ， 当 然 ， 你 也 可 以 让 你 的 domain 拥有 一 个 人 的 标志 ， 例 如 『 dig google.com 
也 能 找到 IP。 不 过 ， 咱 们 昆山 科大 的 ksu.edu.tw 则 没有 设 定 IP 就 是 了 。 要 再 次 特别 强调 
的 ， 主 机 名 如 果 是 全 名 ， 结 尾部 分 请 务必 加 上 人 小数点 。 如 果 你 的 IP 设 定 的 是 |Pv6 的 话 ， 那 
么 查询 就 得 要 使 用 aaaa 类 型 才 行 。 


。 NS : 查询 管理 领域 名 (zone) 的 服务 器 主机 名 


如 果 你 想 要 知道 Www.ksu.edu.tw 的 这 笔记 录 是 由 哪 部 DNS 服务 器 提供 的 ， 那 就 得 要 使 用 
NS (NameServer) 的 RR 类 型 标志 来 查询 。 不 过 ， 由 于 NS 是 管理 整个 领域 的 ， 因 此 ， 你 得 
要 查询 的 目标 将 得 输入 domain， 亦 即 ksu.edu.tw 才 行 喔 ! 举例 如 下 : 


[root@www ~]# dig -t ns ksu.edu.tw 
;; ANSWER SECTION: 
ksu.edu.tw. 1596 IN NS dnsi1.ksu.edu.tw. 


;; ADDITIONAL SECTION: 
dns1.ksu.edu.tw.， ST IN A 120.114.50.1 
# 除了 列 出 NS 是 哪 部 服务 器 之 外 ， 该 服务 器 的 IP 也 会 额外 提供 ! 


前 面 提 过 ，DNS 服务 器 是 很 重要 的 ， 因 此 至 少 都 会 有 两 部 以 上 。 昆 山 科 大 共有 三 部 DNS 服 
务 器 ， 乌 哥 仅 列 出 第 一 部 提供 参 者 。NS 后 面 会 加 服务 器 名 称 ， 而 这 个 服务 器 的 |P 也 会 额外 
提供 才 对 ! 因此 NS 经 常 伴随 A 的 标志 啊 ! 这 样 你 才能 到 NS 去 查询 数据 嘛 | 这 样 说 有 理解 
吧 ? 人 人 


| 
(uy 


。 SOA : 查询 管理 领域 名 的 服务 器 管理 信 ， 


如 果 你 有 多 部 DNS 服务 器 管理 同一 个 领域 名 时 ， 那 么 最 好 使 用 master/slave 的 方式 来 进行 管 
理 。 既 然 要 这 样 管理 ， 那 就 得 要 宣告 被 管理 的 zone file 是 如 何 进行 传输 的 ， 此 时 就 得 要 SOA 
(Start Of Authority) 的 标志 了 。 先 来 瞧 瞧 昆山 科大 的 设 定 是 怎样 : 


[root@www ~]# dig -t Soa ksu.edu.tw 

;; ANSWER SECTION: 

ksu.edu.tw. 3600 IN SOA dns1.ksu.edu. tw. abuse.mail.ksu.edu.tw. 
2010080369 1800 900 604800 86400 

# 上 述 的 输出 结果 是 同一 行 喔 1 


SOA 主要 是 与 领域 有 关 ， 所 以 前 面 当然 要 写 ksu.edu.tw 这 个 领域 名 。 而 SOA 后 面 共 会 接 七 
个 参数 ， 这 七 个 参数 的 意义 依 序 是 : 


1. Master DNS 服务 器 主机 名 : 这 个 领域 主要 是 哪 部 DNS 作为 master 的 意思 。 在 本 例 
中 ，dns1.ksu.edu.tw 为 ksu.edu.tw 这 个 领域 的 主要 DNS 服务 器 嘿 ; 


2， 管 理 员 的 email : 那么 管理 员 的 email 为 何 ? 发 生 问 题 可 以 联络 这 个 管理 员 。 要 注意 的 
是 ， 由 于 @ 在 数据 库 档 案 中 是 有 特别 意义 的 ， 因 此 这 里 就 将 abuse@mail.ksu.edu.tw 
改写 成 abuse.mail.ksu.edu.tw ， 这 样 看 的 懂 了 吗 ? 


3. 序号 (Serial) : 这 个 序号 代表 的 是 这 个 数据 库 档 案 的 新 日 ， 序 号 越 大 代表 越 新 。 当 slave 
要 判断 是 否 主动 下 载 新 的 数据 库 时 ， 就 以 序号 是 否 比 slave 上 的 还 要 新 来 判断 ， 若 是 则 下 
载 ， 若 不 是 则 不 下 载 。 所 以 当 你 修订 了 数据 库 内 容 时 ， 记 得 要 将 这 个 数值 放大 才 行 ! 为 
了 方便 用 户 记 忆 ， 通 常 序号 都 会 使 用 日 期 格式 『YYYYMMDDNUJ 来 记忆 ， 例 如 昆山 科 
大 的 2010080369 序号 代表 2010/08/03 当天 的 第 69 次 更 新 的 感觉 。 不 过 ， 序 号 不 可 大 
于 2 的 32 次 方 ， 亦 即 必须 小 于 4294967296 才 行 喔 。 


4. 更 新 频率 (Refresh) : 那么 哈 时 slave 会 去 向 master 要 求 数 据 更 新 的 判断 ? 就 是 这 个 数 
值 定 义 的 。 昆 山 科 大 的 DNS 设 定 每 1800 秒 进 行 一 次 slave 向 master 要 求 数据 更 新 。 
那 每 次 slave 去 更 新 时 ， 如 果 发 现 序号 没有 比较 大 ， 那 就 不 会 下 载 数据 库 档 案 。 


5.， 失败 重新 尝试 时 间 (Retry) : 如 果 因 为 某 些 因素 ， 导 致 slave 无 法 对 master 达成 联机 ， 
那么 在 多 久 的 时 间 内 ，slave 会 尝试 重新 联机 到 master。 在 昆山 科大 的 设 定 中 ，900 秒 会 
重新 尝试 一 次 。 意 思 是 说 ， 每 1800 秒 slave 会 主动 向 master 联机 ， 但 如 果 该 次 联机 没 
有 成 功 ， 那 接 下 来 尝试 联机 的 时 间 会 变 成 900 秒 。 若 后 来 有 成 功 ， 则 又 会 恢复 到 1800 
秒 才 再 一 次 联机 。 


6 失效 时 间 (Expire) : 如 果 一 直 失 败 尝 试 时 间 ， 持 续 联 机 到 达 这 个 设 定 值 时 限 ， 那 么 slave 
将 不 再 继续 尝试 联机 ， 并 且 尝 试 删除 这 份 下 载 的 zone file 信息 。 昆 山 科 大 设 定 为 604800 
秒 。 意 思 是 说 ， 当 联机 一 直 失 败 ， 每 900 秒 尝试 到 达 604800 秒 后 ， 昆 山 科 大 的 slave 
将 不 再 更 新 ， 只 能 等 待 系统 管理 员 的 处 理 。 


7. 快 取 时 间 (Minumum TTL) : 如 果 这 个 数据 库 zone file 中 ， 每 笔 RR 记录 都 没有 写 到 TTL 
快 取 时 间 的 话 ， 那 么 就 以 这 个 SOA 的 设 定 值 为 主 。 


除了 Serial 不 可 以 超过 2 的 32 次 方 之 外 ， 有 没有 其 它 的 限制 啊 针 对 这 几 个 数值 ? 是 有 的 ， 基 
本 上 就 是 这 样 : 


。 Refresh >= Retry *2 

。 Refresh + Retry < Expire 
。 Expire >= Rrtry* 10 

。 Expire >= 7Days 


一 般 来 说 ， 如 果 DNS RR 资料 变更 情况 频繁 的 ， 那 么 上 述 的 相关 数值 可 以 订 定 的 小 一 些 ， 如 
果 DNS RR 是 很 稳定 的 ， 为 了 节省 带宽 ， 则 可 以 将 Refresh 设 定 的 较 大 一 些 。 


。 CNAME : 设 定 茶 主 机 名 的 别名 (alias) 


有 时 候 你 不 想 要 针对 某 个 主机 名 设 定 A 的 标志 ， 而 是 想 透 过 另外 一 部 主机 名 的 A 来 规范 这 个 
新 主机 名 时 ， 可 以 使 用 别名 (CNAME) 的 设 定 喔 ! 举例 来 说 ， 追踪 www.google.com 时 ， 你 
会 发 现 这 样 : 

[root@www ~]# dig www.google.com 

;; ANSWER SECTION: 


www.google.com. 557697 IN CNAME www.1.google.com., 
www.1.google.com. 298 IN A 72.14.203.99 


意思 是 说 ， 当 你 要 追查 www.google.com 时 ， 请 找 www.1.google.com 那个 主机 ， 而 那个 主 

机 的 入 就 上 面 第 二 行 的 显示 了 。 乌 哥 常常 开玩笑 的 说 ， 你 知道 鸟 哥 的 身份 证 字号 吗 ? 你 到 户 

政事 务 所 去 查 『 鸟 哥 〗 时 ， 他 会 说 : 『 没 这 个 人 啊 ! 因为 没有 人 姓 鸟 .3 ， 这 个 『 乌 哥 」 就 

是 别名 (CNAME) ， 而 对 应 到 的 名 称 就 是 『 蔡 某 某 ， 这 个 蔡 某 某 才 丨 的 有 身份 字号 的 意思 ~ 
一 层 一 层 去 追踪 喝 ~ 


这 个 CNAME 有 啥 好 处 呢 ? 用 A 就 好 了 吧 ? 其实 还 是 有 好 处 的 ， 举 例 来 说 ， 如 果 你 有 一 个 
IP， 这 个 IP 是 给 很 多 主机 名 使 用 的 。 那 么 当 你 的 IP 更 改 时 ， 所 有 的 数据 就 得 通通 更 新 A 标 
Sr 如 果 你 只 有 一 个 主要 主机 名 设 定 A， 而 其 他 的 标志 使 用 CNAME 时 ， 那 么 当 IP 更 

改 ， 那 你 只 要 修订 一 个 A 的 标志 ， 其 他 的 CNAME 就 跟着 变动 了 |! 处 理 起 来 比较 容易 啊 ! 


e MX : 查询 某 领 域名 的 邮件 服务 器 主机 名 


MX 是 Mail eXchanger (邮件 交换 ) 的 意思 ， 通 常 你 的 整个 领域 会 设 定 一 个 MX ， 人 代表， 所 有 
寄 给 这 个 领域 的 email 应 该 要 送 到 后 头 的 email server 主机 名 上 头 才 是 。 先 看 看 昆 大 的 资 
料 : 

[root@www ~]# dig -t mx ksu.edu.tw 


;; ANSWER SECTION: 
ksu.edu.tw. 3600 IN MX 8 mx01.ksu.edu.tw. 


;; ADDITIONAL SECTION : 
mx01. ksu.edu. tw. 3600 IN A 120.114.100.28 


上 头 的 意思 是 说 ， 当 有 信件 要 送 给 ksu.edu.tw 这 个 领域 时 ， 则 预先 将 信件 传送 给 
mx01.ksu.edu.tw 这 部 邮件 服务 器 管理 ， 当 然 啦 ， 这 部 mx01.ksu.edu.tw 自然 就 是 昆 大 自己 
管理 的 邮件 服务 器 才 行 | MX 后 面 接 的 主机 名 通常 就 是 合法 mail server ， 而 想 要 当 MX 服务 
器 ， 就 得 要 有 A 的 标志 才 行 ~ 所 以 上 表 后 面 就 会 出 现 mx01.ksu.edu.tw 的 A 啊 ! 


么 在 mx01 之 前 的 8 是 什么 意思 ? 由 于 担心 邮件 会 遗失 ， 因 此 较 大 型 的 企业 会 有 多 部 这 样 
ee 邮件 服务 器 来 预先 收受 信件 。 那么 到 底 哪 部 邮件 主机 会 先 收 下 呢 ? 就 以 数字 较 小 的 那 
部 优先 嘿 ! 举例 来 说 ， 如 果 你 去 查 google.com 的 MX 标志 ， 就 会 发 现 他 有 5 部 这 样 的 服务 


器 呢 ! 


19.4.2 反 解 文件 记录 的 RR 数据 


讲 完 了 正解 来 谈 谈 反 解 吧 ! 在 讲 反 解 之 前 ， 先 来 谈 谈 正解 主机 名 的 追踪 方式 。 以 
www.ksu.edu.tw. 来 说 ， 整 个 网 域 的 概念 来 看 ， 越 右边 出 现 的 名 称 代 表 网 域 越 大 ! 举例 来 
说 ，.(root) > tw > edu 以 此 类 推 。 因 此 追踪 时 ， 有 是 由 大 范围 找到 小 范围 ， 了 最后， 我 们 就 知道 
追踪 的 方向 如 图 19.1-4 所 示 那 样 。 


本 IP 则 不 一 样 啊 ! 以 昆 大 的 120.114.100.101 来 说 好 了 ， 当 然 是 120 > 114 > 100 > 101 

边 的 网 域 最 大 ! 与 预 设 的 DNS 从 右边 向 左边 查询 不 一 样 啊 | 那 怎 办 ?为 了 解决 这 个 问 
题 ， 以 反 解 的 zone 就 必须 要 将 IP 反 过 来 写 ， 而 在 结尾 时 加 上 .in-addr.arpa. 的 结尾 字样 即 
可 。 所 以 ， 当 你 想 要 追踪 反 解 时 ， 那 么 反 解 的 结果 就 会 是 : 


[root@www ~]# dig -x 120.114.100.101 
;; ANSWER SECTION: 
101.100.114.120.in-addr.arpa. 3600 IN PTR www. ksu.edu.tw. 


例如 上 述 的 结果 中 ， 我 们 要 查询 的 主机 名 竟然 变 成 了 1IP 反 转 的 模样 ! 所 以 才 称 为 反 解 踊 ! 而 
反 解 的 标志 最 重要 的 就 是 PTR 了 ! 


e。 PTR : 就 是 反 解 啊 ! 所 以 是 查询 IP 所 对 应 的 主机 名 


进行 反 解 时 ， 要 注意 的 就 是 zone 的 名 称 了 | 要 将 IP 反 转 过 来 写 ， 并 且 结 尾 加 上 .in- 
addrarpa. 才 行 ! 例如 120.114.100.0/24 这 个 class C IP 网 段 的 反 解 设 定 ， 就 必须 要 写成 : 
100.114.120.in-addr.arpa. 这 样 的 zone 名 称 才 行 。 而 PTR 后 面 接 的 自然 就 是 主机 名 哩 ! 


在 反 解 最 重要 的 地 方 就 是 : 后 面 的 主机 名 尽量 使 用 完整 FQDN， 亦 即 加 上 小 数 点 (.) ! 为 什么 
呢 ? 举 100.114.120.in-addr.arpa. 为 例 ， 如 果 你 只 是 填写 主机 名 ， 并 没有 填写 领域 名 ， 那 么 
当 人 家 追踪 你 的 主机 名 时 ， 你 的 主机 名 会 变 成 : www.100.114.120.in-addr.arpa. 的 怪 模 样 。 
这 是 比较 需要 注意 的 地 方 。 


Tips: 老实 说 ， 鸟 园 讨论 区 的 一 些 有 经 验 的 朋友 一 直 在 讲 ， 如 果 担心 会 有 误解 ， 主 机 名 的 设 定 
则 通通 记得 是 要 填写 FQDN 就 是 了 ! 这 样 绝对 不 会 有 问题 | ^ ^ 


19.4.3 步骤 一 : DNS 的 环境 规划 : 正解 、 反 解 zone 的 预先 定义 
案例 说 明 


现在 假设 鸟 哥 的 区 网 环境 中 想 要 设 定 DNS 服务 器 ， 乌 哥 的 区 网 原本 规划 的 域名 就 是 
centos.vbird， 且 搭配 的 IP 网 段 为 192.168.100.0/24 这 一 段 ， 因 此 主要 的 正解 网 域 为 
centos.vbird， 而 反 解 的 网 域 则 为 192.168.100.0/24 ， 乌 哥 的 这 部 DNS 服务 器 想 要 自己 找寻 
.(root) 而 不 透 过 forwarders 的 辅助 ， 因 此 还 得 要 . 的 领域 正解 档 。 综合 起 来 说 ， 乌 可 需要 设 
定 到 的 档案 就 有 这 几 个 : 


named.conf (主要 配置 文件 ) 

named.centos.vbird (主要 的 centos.vbird 的 正解 档 ) 
named.192.168.100 (主要 的 192.168.100.0/24 的 反 解 楼) 
named.ca (由 bind 软件 提供 的 .正解 档 ) 


人 内 及 一 


如 果 我 还 想 要 加 入 其 他 的 领域 ， 例 如 niki.vbird 可 不 可 以 啊 ? 当然 可 以 啊 ! 就 再 多 一 个 数据 库 
正解 档案 即 可 ! 还 有 ， 乌 可 上头 这 个 设 定 资料 为 内 部 私有 的 ， 所 以 你 可 以 完全 照 着 玩 ! 并 不 
会 影响 到 外 部 的 因特网 啦 ! 只是， 因特网 也 查 不 到 你 的 DNS 设 定 就 是 了 一 反正 是 练功 嘛 ! 


人 人 


至 于 数据 库 的 正 、 反 解 对 应 上 ， 依 据 实际 的 测试 环境 ， 规 划 如 下 ( 亦 请 参考 第 三 章 图 3.2-1) : 


操作 系统 与 IP 主机 名 与 RR 标志 说 明 


master.centos.vbird (NS, DNS 设置 是 使 用 


A) www.cenios. volrg A master.centos.vbird 这 个 DNS 服务 
linux.centos.vbird 器 名 称 。 至 于 这 部 主机 的 另 一 个 主 


Linux (CNAME) ftp.centos.vbird 要 之 和 是 wcentosvbird 此 他 
(192.168.100.254) (CNAME) 的 都 是 CNAME， 这 样 未 来 比较 好 

forum.centos.vbird 修改 。 同 时 给 予 一 个 MX 的 标志 给 

人 主要 主机 名 虽 

www.centos.vbird (MX) 
Linux slave.centos.vbird (NS, A) 了 
(192.168.100.10) clientlinux.centos.vbird(A) 人 
WinXP workstation.centos.vbird 2 公司 用 吊 

一 部 经 米 工 作 的 工作 证 

(192.168.1.101) (A) MA 
A winxp.centos.vbird (A) 一 部 用 来 测试 的 Windows XP 


(192.168.100.20) 


Win7 
(192.168.100.30) 





win7.centos.vbird (A) 一 部 用 来 测试 的 Windows 7 


请 特别 留意 啊 ， 一 个 IP 可 以 对 应 给 多 个 主机 名 ， 同 样 的 ， 一 个 主机 名 可 以 给 予 多 个 IP 喔 ! 
主要 是 因为 那 部 www.centos.vbird 的 机 器 未 来 的 用 途 相当 的 多 ， 鸟 哥 希 望 那 一 部 主机 有 多 个 
名 称 ， 以 方便 未 来 额外 的 规划 啊 。 所 以 就 对 该 IP 对 应 了 四 个 主机 名 啊 ! 

Tips: 在 自家 设 的 没有 经 过 合法 授权 的 DNS 最 好 不 要 以 Internet 上 面 已 经 存在 的 领域 名 来 练 
习 架 设 ! 举例 来 说 ， 假 设 今天 你 以 192.168.100.254 那 部 机 器 来 架设 *.yahoo.com 的 领域 ， 
因为 我 将 192.168.100.254 放置 在 第 一 位 ， 导 致 每 次 的 查询 其 实 yahoo.com 这 个 领域 的 数据 
都 是 直接 由 192.168.100.254 所 提供 ， 这 很 不 好 ~ 因为 可 能 会 造成 你 的 客户 端的 不 便 一 


天 
NSO AL 


19.4.4 步骤 二 : 主 配 置 文件 /etc/named.conf 的 设置 


这 个 配置 文件 较 多 的 options 参数 我 们 已 经 在 19.3.3 里 面谈 过 ， 在 我 们 目前 的 案例 中 ， 则 必 
须要 将 forwarders 相关 功能 取消 ， 并 加 上 禁止 传输 zone file 的 参数 即 可 。 至 于 zone 的 设 定 
上 ， 必 须要 包含 上 个 小 节 谈 到 的 三 个 主要 的 zone 喔 ! 因此 这 个 档案 的 任务 是 : 


。 options : 规范 DNS 服务 器 的 权限 (可 否 查 询 、forward 与 否 等 ) ; 
。 zone : 设 定 出 zone (domain name) 以 及 zone file 的 所 在 (包含 master/slavelhint) ; 
。 其 他 : 设 定 DNS 本 机 管理 接口 以 及 其 相关 的 密 钥 档案 (key file)。( 本 章 稍 后 进 阶 应 用 再 


谈 ) 


[root@www ~]# vim /etc/named.conf 


options { 
directory "/var/named"; 
dump-file "/var/named/data/cache_dump.db"; 


statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named mem_ stats.txt"; 
allow-query { any; }; 
recursion yes; 

allow-transfer { none; }; // 不 许 别 人 进行 zone 转移 


}; 
Zone "." IN{ 
type hint; 
file "named.ca"; 
}; 
Zone "centos.vbird" IN { // 这 个 zone 的 名 称 


type master; // 是 什么 类 型 
file "named.centos.vbird"; // 档案 放 在 哪里 


}; 
Zone "100.168.192.in-addr.arpa" IN { 


type master,; 
file "named.192.168.100"; 


}; 


在 options 里 面 仅 新 增 一 个 新 的 参数 ， 就 是 allow-transfer， 意 义 为 : 


。 allow-transfer ( none; }; 是 否 允 许 来 自 slave DNS 对 我 的 整个 领域 数据 进行 传送 ? 这 个 设 
定 值 与 masterslave DNS 服务 器 之 间 的 数据 库 传 送 有 关 。 除 非 你 有 slave DNS 服务 器 ， 
否则 这 里 不 要 开放 喔 ! 因此 这 里 我 们 先 设 定 为 none。 


至 于 在 zone 里 面 的 设 定 值 ， 主 要 则 有 底下 几 个 : 


Zone 内 的 相 


关 参数 说 明 
设 定 值 意义 
人 该 zone 的 类 型 ， 主 要 的 类 型 有 针对 . 的 hint， 以 及 自己 手动 修改 数据 库 
档案 的 master ;与 可 自动 更 新 数据 库 的 slave。 
file 就 是 zone file 的 档 名 啊 ! (注意 chroot 与 否 哆 1 ) 
反 解 zone 主要 就 是 in-addrarpa 这 个 玩意 儿 ! 请 参考 19.4.2 的 解释 


为 何 档 名 都 是 named 开头 呢 ? 这 只 是 个 习惯 而 已 ， 你 也 可 以 依据 自己 的 习惯 来 订 定 档 名 的 。 
经 过 上 面 的 说 明 ， 所 ee ， zone file 档 名 都 是 透 过 named.conf 这 个 配置 文件 来 规范 
的 啊 | 


19.4.5 步骤 三 : 最 上 层 . (root) 数据 库 档案 的 设 定 


pe 19.1-4 os 4 这 个 yaad 它 是 由 INTERNIC 所 管理 


e ftp://rs.internic.net/domain/named.root 


要 不 要 下 载 最 新 的 资料 随 你 便 ， 因 为 我 们 的 CentOS 6.x 内 的 bind 软件 已 经 提供 了 一 个 名 为 
named.ca 的 档案 了 ， 鸟 可 是 直接 使 用 系统 提供 的 数据 啦 。 这 个 档案 的 内 容 有 点 像 这 样 : 


[root@www ~]# vim /var/named/named.ca 


，&]1t ;== 这 里 有 个 小 数 点 518400 IN NS A.ROOT-SERVERS. NET. 
A.ROOT-SERVERS .NET. 3600000 IN A 198.41.0.4 

# 上 面 这 两 行 是 成 对 的 ! 代表 点 由 A.ROOT-SERVERS .NET， 管 理 ， 并 附 上 IP 查询 

，&1t ;== 这 里 有 个 小 数 点 518400 IN NS M.ROOT-SERVERS . NET. 
M.ROOT-SERVERS. NET. 3600000 IN A 202.12.27.33 
M.ROOT-SERVERS .NET . 3600000 IN AAAA 2001:dc3: :35 


# 上 面 这 三 行 是 成 对 的 ， 代 表 M 开头 的 服务 器 有 A 与 AAAA 的 记录 


相关 的 正解 标志 NS, A, AAAA 意义 ， 请 回 19.4.1 去 查询 ， 这 里 不 再 解释 。 比较 特殊 的 是 ， 
由 于 考虑 IPv6 未 来 的 流行 性 ， 因 此 很 多 部 . 服务 器 都 加 上 AAAA 的 IPv6 功能 嚼 。 这 个 档案 
的 内 容 你 不 要 修改 啊 ~ 因 为 这 个 内 容 是 Internet 上 面 通用 的 数据 ， 一 般 来 说 ， 也 不 会 常常 变 
动 ， 所 以 不 需要 更 动 他 ， 将 他 放置 到 正确 的 目录 并 改 成 你 所 指定 的 档 名 即 可 啊 ! 接 下 来 可 以 
看 看 其 他 正解 档案 啦 ! 


19.4.6 步骤 四 : 正解 数据 库 档 案 的 设 定 
再 来 开始 正解 档 的 设 定 吧 ! 正解 文件 一 定 要 有 的 RR 标志 有 底下 几 个 喔 : 


。 关于 本 领域 的 基础 设 定 方面 : 例如 快 取 记 忆 时 间 (TTL)、 领 域名 (ORIGIN) 等 ; 
e 关于 master/slave 的 认证 方面 (SOA) ; 

。 关于 本 领域 的 领域 名 服务 器 所 在 主机 名 与 IP 对 应 (NS, A); 

e 其 他 正 反 解 相 关 的 资源 记录 (A, MX, CNAME 等 )。 


相关 的 RR 意义 请 回 19.4.1 去 查询 。 此 外 ， 这 个 档案 的 特殊 符号 也 得 跟 大 家 报告 一 下 : 


太后 


符 


首 
开 
始 
这 个 符号 代表 zone 的 意 ， 
@ 


a 
必 


4 所 有 设 定数 据 一 定 要 从 行 首开 始 ， 前 面 不 可 有 空格 符 。 若 有 空格 符 ， 代 表 延 续 前 一 
了 个 domain 的 意思 一 非常 重要 ~ 


思 1 例如 写 在 named.centos.vbird 中 ，@ 代表 
centos.vbird.， 如 果 写 在 named.192.168.100 档案 中 ， 则 @ 代表 100.168.192.in- 


addrarpa. 的 意思 (参考 named.conf 内 的 zone 设 定 ) 


这 个 点 (.) 很 重要 ! 因为 他 代表 一 个 完整 主机 名 (FQDN) 而 不 是 仅 有 hostname 而 
已 。 举 例 来 说 ， 在 named.centos.vbird 当中 写 www.centos.vbird 则 代表 FQDN 为 
www.centos.vbird.@ ==> www.centos.vbird.centos.vbird. 喔 ! 因此 当然 要 写成 


www.centos.vbird. 才 对 ! 


代表 批注 符号 一 似乎 # 也 是 批注 一 两 个 符号 都 能 使 用 


鸟 哥 打 算 沿 用 系统 提供 的 一 些 配 置 文件 ， 然 后 据 以 修改 成 为 乌 哥 自己 需要 的 环境 。 整 个 DNS 
是 由 mastercentos.vbird 这 部 服务 器 管理 的 ， 而 管理 者 的 email 为 vbird@www.centos.vbird 
这 个 。 整 个 正解 档 最 终 有 点 像 这 样 : 


图 


[root@www ~]# vim /var/named/named.centos.vbird 


# 与 整个 领域 相关 性 较 高 的 设 定 包 括 NS， 


$TTL 600 

@ IN &1t; 
@ IN &lt; 
master.centos.vbird. IN &Jt ， 
@ IN &lt; 


A，MX，SOA 等 标志 的 设 定 处 ! 


U&gt;SOA master.centos.vbird. vbird.www.centos.vbird. (& 
&lt;u&gt;2011080401 3H 15M 1W 1D )&lt;/u&gt; ; 与 上 面 是 同 - 
UuU&gt ;NS master.centos ,vbird.&lt;/u&gt; ; DNS 服务 器 名 称 


u&gt ;A 192.168.100.254&]t;/u&gt; ; DNS 服务 器 工 
u&gt ;MX 19 www.centos.vbird.&lt;/u&gt ; ; 领域 名 的 邮件 服务 


# 针对 192.168.100.254 这 部 主机 的 所 有 相关 正解 设 定 。 


www.centos.vbird. IN &]lt;u&gt;A 192.168.100.254&]t;/u&gt; 
linux.centos.vbird. IN CNAME www.centos.vbird. 
ftp.centos.vbird. IN CNAME www.centos.vbird. 
forum.centos.vbird. IN CNAME www.centos.vbird. 


# 其 他 几 部 主机 的 主机 名 正解 设 定 。 
slave.centos.vbird. IN A 
clientlinux.centos.vbird. IN A 
workstation.centos.vbird. IN A 
winxp.centos.vbird., IN A 
&lt;u&gt ;win7 


192.168.100.10 
192.168.100.10 
192.168.1.101 
192.168.100.20 
INA 192.168.100.30&lt;/u&gt; ; 这 是 简化 的 写法 ! 





再 次 强调 ， 一 个 正解 的 数据 库 设 定 中 ， 至 少 应 该 要 有 $TTL, SOA, NS (与 这 部 NS 主机 名 的 

A)， 乌 哥 将 这 些 基 本 要 用 到 的 标志 写 在 上 表 的 第 一 部 份 。 至 于 其 他 的 ， 则 是 相关 的 主机 名 正 
解 设 定 嘿 。 如 果 这 些 设 定 值 你 看 不 懂 ， 那 么 ， 可 以 肯定 的 是 ， 请 回 19.4.1 去 瞧 瞧 吧 ! 底下 强 
调 一 下 之 前 没有 讲 到 的 设 定 值 项 目 : 


设 定 值 。 ”说 明 


为 了 简化 每 笔 RR 记录 的 设 定 ， 因 此 我 们 将 TTL 挪 到 最 前 面 统 一 设 定 。 因 为 
$TTL 鸟 哥 的 DNS 服务 器 还 在 测试 中 ， 所 以 TTL 写 了 个 比较 小 的 数值 ， 可 以 存在 
对 方 DNS 服务 器 的 快 取 600 秒 而 已 。 


这 个 设 定 值 可 以 重新 指定 zone 的 定义 。 在 预 设 的 情况 下 ， 这 个 正 反 解数 据 

库 档 案 中 的 zone 是 由 named.conf 所 指定 的 ， 就 是 zone 那个 参数 的 功能 。 

不 过 ， 这 个 zone 是 可 以 改 的 ， 就 是 用 $ORIGIN 来 修订 就 是 了 。 通 常 这 个 设 
定 值 不 会 用 到 的 


$ORIGIN 


老实 说 ， 初 次 设 定 DNS 的 朋友 大 概 都 会 被 那个 小 数 点 (.) 玩 死记 其 实 你 不 要 太 紧 张 ， 只 要 记 
住 : 『 加 上 了 .表示 这 是 个 完整 的 主机 名 (FQDN)， 亦 即 是 "hostname + domain name" 了 ， 
如 果 没 有 加 上 . 的 话 ， 表 示 该 名 称 仅 为 "hostname'" 而 已 ! 因为 我 们 这 个 配置 文件 的 zone 是 
centos.vbird ， 所 以 上 表 的 最 后 一 行 ， 乌 哥 只 写 出 主机 名 (win7) ， 因 为 没有 小 数 点 结尾 ， 

此 完整 的 FQDN 要 加 上 zone， 所 以 主机 名 win7 代表 的 是 : win7.centos.vbird. 喔 ! 


19.4.7 步骤 五 : 反 解 数据 库 档案 的 设 定 


反 解 跟 正 解 一 样 ， 还 都 需要 TTL, SOA, NS 等 等 的 ， 但 是 相对 于 正解 里 面 有 A， 反 解 里面 则 仅 
有 PTR 喔 ! 另外 ， 由 于 反 解 的 zone 名 称 是 很 怪 zz.yy.xx.in-addr.arpa. 的 模样 ， 因 此 只 要 在 

反 解 里 面 要 用 到 主机 名 时 ， 务 必 使 用 FQDN 来 设 定 啊 ! 更 多 与 反 解 有 关 的 资料 ， 请 到 19.4.2 
去 查阅 喔 ! 至 于 192.168.100.0/24 这 个 网 域 的 DNS 反 解 则 成 为 : 


[root@www ~]# vim /var/named/named.192.168.100 


$TTL 600 
@ IN SOA master,centos.vbird，vbird.www,centos,.Vvbird， ( 
2011080401 3H 15M 1W 1D ) 
@ IN NS master.centos.vbird. 
254 IN PTR master.centos.vbird. ; 将 原本 的 A 改 成 PTR 的 标志 而 已 
254 IN PTR www.centos.vbird. ; 这 些 是 特定 的 IP 对 应 
10 IN PTR slave.centos.vbird. 
20 IN PTR winxp.centos.vbird. 
30 IN PTR win7.centos.vbird. 
101 IN PTR dhcp1i01.centos.vbird. ; 可 能 针对 DHCP (第 十 二 章 ) 的 IP 设 定 
102 IN PTR dhcp102.centos.vbird. 
(中 间 省 略 ).... 
200 IN PTR dhcp200.centos.vbird. 


因为 我 们 的 zone 是 100.168.192.in-addr.arpa. 这 一 个 ， 因 此 IP 的 全 名 部 分 已 经 含有 
192.168.100 了 ， 所 以 在 上 表 当 中 的 最 左边 ， 数 值 只 需要 存在 最 后 一 个 IP 即 可 。 因 此 254 就 
代表 192.168.100.254 史 ! 此 外 ， 为 了 担心 DHCP 自动 分 配 的 IP 没有 对 应 的 主机 名 ， 所 以 
这 里 也 附 挂 了 192.168.100.{101~200} 的 主机 名 对 应 哩 ! 


19.4.8 步骤 六 


: DNS 的 启动、 观 肾 与 防火 墙 


DNS 的 启动 也 太 简单 了 吧 ? 就 直接 利用 系统 提供 的 启动 script 即 可 ! 


[root@www ~]# /etc/init.d/named restart &lt;== 也 可 能 是 需要 restart 喔 
[root@www ~]# chkconfig named on 


但 即使 画面 上 出 现 的 是 『 确 定 」 或 『【OKJ ， 都 不 见得 你 的 DNS 服务 是 正常 的 。 所 以 ， 请 你 


『 务 必 J 查阅 /var/log/messages 的 内 容 才 行 ! 基本 上 ， 内 容 会 有 点 像 这 样 : 


[root@www ~]# tail -n 30 /var/log/messages &#124; grep named 


named[3511]: starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.e]6 0.1 -u named -t 
/var/named/chroot 

named[3511]: adjusted limit on open files from 1024 to 1048576 
named[3511]: found 1 CPU, using 1 worker thread 

named[3511]: using up to 4096 sockets 

named[3511]: loading configuration from '/etc/named.conf' 

named[3511]: using default UDP/IPVv4 port range: [1024, 65535] 
named[3511]: using default UDP/IPV6 port range: [1024, 65535] 
named[3511]: listening on IPv4 interface lo, 127.0.0.1#53 

named[3511]: listening on IPv4 interface eth0，192.168.1.100#53 
named[3511]: listening on IPv4 interface ethi1, 192.168.100.254#53 
named[3511]: command channel listening on 127.0.0.1#953 

named[3511]: command channel listening on ::1#953 

named[3511]: the working directory is not writable 

named[3511]: zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080401 
named[3511]: zone centos.vbird/IN: loaded serial 2011080401 
named[3511]: running 


上 面 的 输出 讯息 中 ， 你 得 要 特别 注意 有 画 底线 的 部 分 。 包 括 -t chroot dir 是 设 定 chroot 目录 
的 位 置 ， 而 配置 文件 (configuration) 则 是 /etc/named.conf， 最 重要 的 是 你 的 所 有 的 zone 
(hint 类 型 的 . 除外 ) 的 序号 (serial) 号 码 要 跟 你 的 数据 库 内 容 一 致 才 行 ! 而 且 不 能 够 有 出 现 
『 设 定 的 档 名 :数字 J 的 内 容 ， 否 则 肯定 就 是 配置 文件 有 问题 一 上 面 的 讯息 看 起 来 还 算 OK 
啦 ! 


在 上 述 的 输出 数据 当中 因为 信息 太 长 了 ， 所 以 鸟 哥 将 登录 的 时 间 与 主机 的 字段 拿 掉 了 ! 上 面 
是 顺利 启动 时 的 状况 ， 如 果 出 现 问题 怎 办 ?通常 出 现 问题 的 原因 是 因为 : 


e 语法 设 定 错误 : 这 个 问题 好 解决 ， 因 为 在 /varlog/messages 里 面 有 详细 的 说 明 ， 按 照 
内 容 去 修订 即 可 ; 


e。 逻辑 设 定 错误 : 这 个 就 比较 困扰 了 | 为 什么 呢 ? 因为 他 主要 发 生 在 你 设 定 DNS 主机 的 
时 候 ， 考 虑 不 周 所 产生 的 问题 | 例如 忘记 加 上 (.) ， 系 统 不 会 显示 错误 讯息 ， 但 是 却 会 千 
成 查询 的 误 判 ， 而 MX 设 定 的 主机 名 错误 ， 也 不 会 出 现 有 问题 的 讯息 ， 但 是 mail server 
就 是 会 收 不 到 信 等 等 一 这 些 错误 都 需要 很 详细 的 DNS client 的 测试 才能 知道 问题 的 所 
在 


我 们 这 里 先 就 语法 设 定 错误 方面 进行 介绍 ， 至 于 逻辑 设 定 的 问题 ， 那 个 就 需要 多 多 的 进行 测 
试 才 能 知道 了 ~ 底下 的 错误 讯息 都 会 记录 在 /Var/log/messages 里 面 弓 |! 


named: /etc/named.conf:8: missing ';' before '}' 
# 注意 到 上 面 提 到 的 文件 名 与 数字 吗 ? 说 明 的 是 /etc/named.conf 的 第 8 行 ， 
# 至 于 错误 是 因为 缺少 分 号 (;) 所 致 ! 去 修正 一 下 即 可 。 


dns_rdata_fromtext: named.centos.vbird:4: near eol: unexpected end of input 

zone centos.vbird/IN: loading master file named.centos.vbird: unexpected end of :Input 
_default/centos.vbird/IN: Unexpected end of Input 

# 指 的 是 named.centos.vbird 的 第 4 行 有 问题 ， 察 看 档案 内 容 第 4 行 是 SOA 的 项 目 ， 

# 通常 是 SOA 那 五 个 数字 没有 完全 ! 赶紧 去 修订 一 下 即 可 啊 ! 


dns_rdata_fromtext: named.centos.vbird:7: near 'www.centos.vbird.': 
not a valid number 

# 说 明 第 7 行 在 www.,centos.vbird 附近 需要 有 一 个 合法 的 数字 ! 刚好 是 MX ， 

# 所 以 ， 赶 紧 加 上 一 个 合法 的 数字 ， 去 瞧 瞧 改 改 即 可 ! 


通常 最 大 的 问题 是 ... 打 错字 ! 所 以 ， 务 必要 慢 慢 打字 ， 慢 慢 察 看 清楚 ， 尤 其 是 登录 文件 内 的 信 
息 喔 ! 都 处 理 完毕 之 后 ， 也 能 够 透 过 netstat 去 查 到 port 53 有 在 监听 ， 再 来 就 是 要 放行 人 家 
的 查询 了 | 所 以 ， 又 得 要 修改 防火 墙 哩 ! 假设 你 还 是 安装 鸟 哥 的 防火 墙 脚 本 ， 那 么 接 下 来 就 


oo 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找到 如 下 两 行 ， 将 批注 拿 掉 即 可 ! 

iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT 
iptables -A INPUT -p TCP -i $EXTIF --dport S53 --sport 1024:65534 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


19.4.9 步骤 七 : 测试 与 数据 库 更 新 


在 上 面 的 设 定 都 搞定 ， 并 且 启 动 之 后 ， 你 的 DNS 服务 器 应 该 是 已 经 妥当 的 在 运作 了 。 那 你 
怎么 知道 你 的 设 定 是 否 合 理 ? 了 当然 要 作 测 试 喔 ! 测试 有 两 种 方式 ， 一 种 是 藉 由 client 端的 查询 
功能 ， 目 的 是 检验 你 的 数据 库 设 定 有 无 错误 ; 另外 你 也 可 以 连 上 底下 这 个 网 站 : 


e http://thednsreport.com/ 


这 个 网 站 可 以 帮 你 检验 你 的 DNS 服务 器 的 主要 设 定 是 否 有 问题 ! 不 过 ， 这 个 网 站 的 检验 主要 
是 以 合法 授权 的 zone 为 主 ， 我 们 自己 乱 摘 的 DNS 是 没有 办 法 检查 的 啦 ! 旧 是 可 惜 ~ 好 了 ， 
就 让 我 们 来 测试 测试 结果 吧 |! 首先， 得 将 DNS 服务 器 自己 的 /etc/resolv.conf 改 成 如 下 模样 
较 佳 : 


[root@www ~]# vim /etc/resolv.conf 
nameserver 192.168.100.254 ”&]lt;== 自 己 的 IP 一 定 要 最 早出 现 ! 
nameserver 168.95.1.1 


接 下 来 ， 就 让 我 们 针对 上 面 较 重 要 的 正 、 反 解 信息 进行 检测 吧 ! 同样 的 ， 鸟 哥 也 仅 列 出 答案 
的 部 分 而 已 ! 


# 1\， 检查 master .centos.vbird 以 及 www.centos.vbird 的 A 标志 
[root@www ~]# dig master.centos.vbird 

;; ANSWER SECTION: 

master.centos.vbird. 600 IN A 192.168.100.254 
[root@www ~]# dig www.centos.vbird 

;; ANSWER SECTION: 

www.centos.vbird. 600 IN A 192.168.100.254 


# 2\， 检查 ftp.centos.vbird 与 winxp 等 等 的 A 标志 

[root@www ~]# dig ftp.centos.vbird 

;; ANSWER SECTION: 

ftp.centos.vbird. 600 IN CNAME www.centos.vbird. 
www.centos.vbird. 600 IN A 192.168 .100.254 
[root@www ~]# dig winxp.centos.vbird 

;; ANSWER SECTION: 

winxp.centos.vbird. 600 IN A 192.168.100.20 


# 3\， 检查 centos.,vbird 这 个 zone 的 MX 

[root@www ~]# dig -t mx centos.vbird 

;; ANSWER SECTION: 

centos .vbird. 600 IN MX 10 www.centos.vbird. 


# 4\， 检查 192.168.100.254 及 192.168.100.10 的 反 解 

[root@www ~]# dig -x 192.168.100.254 

;; ANSWER SECTION: 

254.100.168.192.in-addr.arpa. 600 IN PTR www.centos.vbird. 
254.100.168.192.in-addr.arpa. 600 IN PTR master.centos.vbird. 
[root@www ~]# dig -x 192.168.100.10 

;; ANSWER SECTION: 

10.100.168.192.in-addr .arpa. 600 IN PTR slave.centos.vbird. 


测试 要 成 功 才 行 哆 ! 什么 是 成 功 呢 ?除了 要 丰 的 有 数据 显示 之 外 ， 该 资料 是 否 正 是 你 要 的 模 
样 ? 那 才 是 顺利 成 功 。 如 果 有 出 现 错误 的 信息 ， 例 如 找 不 到 www.centos.vbird 之 类 的 ， 那 就 
失败 了 ， 得 要 找 出 问题 才 行 。 


另外 ， 如 果 你 的 数据 库 需 要 更 新 时 ， 应 该 做 哪些 举动 啊 ? 举例 来 说 ， 你 的 某 个 主机 IP 或 者 主 
机 名 要 变更 ， 也 可 能 是 新 增 某 个 主机 名 与 IP 的 对 应 呢 ! 很 简单 啦 ， 通 常 这 样 做 就 好 了 : 


1， 先 针对 要 更 改 的 那个 zone 的 数据 库 档 案 去 做 更 新 ， 就 是 加 入 RR 的 标志 即 是 |! 

2. 更 改 该 zone file 的 序号 (Serial) ， 就 是 那个 SOA 的 第 三 个 参数 (第 一 个 数字 )， 因 为 这 个 
数字 会 影响 到 master/slave 的 判定 更 新 与 否 喔 ! 

3， 重 新 启动 named ， 或 者 是 让 named 重新 读 取 配置 文件 即 可 。 


就 这 么 简单 啊 ! 不 过 大 家 常常 会 忘记 第 二 个 步骤 啦 ! 就 是 将 序号 变 大 啊 ! 如 果 序 号 没有 变 
大 ， 那 master/slave 的 数据 库 可 能 不 会 主动 的 更 新 ， 会 造成 一 些 困扰 喔 |! 


19.5 协同 工作 的 DNS : Slave DNS 及 子 域 授权 设 定 


我 们 在 本 章 一 开始 就 曾 谈 过 ，DNS 大 概 是 未 来 最 重要 的 网 络 服务 之 一 ， 因 为 所 有 的 主机 名 需 
求 都 得 要 DNS 提供 才 行 。 因 此 ，|SP 在 提供 domain name 注册 时 ， 就 强调 得 要 有 两 部 以 上 
的 DNS 服务 器 才 行 。 而 为 了 简化 DNS 管理 人 员 的 负担 ， 使 用 Master/Slave DNS 架构 的 情 
况 会 比较 好 ! 为 什么 呢 ? 让 我 们 再 回忆 一 下 Slave DNS 的 特色 : 


。 为 了 不 间断 的 提供 DNS 服务 ， 你 的 领域 至 少 需 要 有 两 部 DNS 服务 器 来 提供 查询 的 功 
能 ; 

。 承 上 ， 这 几 部 DNS 服务 器 应 该 要 分 散在 两 个 以 上 的 不 同 IP 网 域 才 好 ; 

@ 为 方便 管理 ， 通常 除了 一 部 主要 Master DNS 之 外 ， 其 他 的 DNS 会 使 用 slave 的 模式 ; 

。 slave DNS 服务 器 本 身 并 没有 数据 库 ， 他 的 数据 库 是 由 master DNS 所 提供 的 ; 

。 master/slave DNS 必需 要 可 以 相互 传输 zone file 的 相关 信息 才 行 ， 这 部 份 需要 
/etc/named.conf 之 设 定 辅 助 。 


除 此 之 外 ， 如 果 你 有 朋友 或 者 是 学 生 想 要 跟 你 要 一 个 子 域 ， 那 又 该 如 何 设 定 另 一 部 DNS 服务 
器 呢 ? 就 让 我 们 依 序 来 谈 谈 哆 ~ 


19.5.1 master DNS 权限 的 开放 
我 们 使 用 19.4.3 的 案例 ， 继 续 来 架设 一 部 支持 该 案例 的 slave DNS 吧 ! 基本 的 假设 为 : 


。 提供 slave DNS 服务 器 进行 zone transfer 的 服务 器 为 mastercentos.vbird 

。 centos.vbird 及 100.168.192.in-addrarpa 两 个 zone 都 提供 给 slave DNS 使 用 

。 master.centos.vbird 的 named 仅 提 供给 slave.centos.vbird 这 部 主机 进行 zone transfer 
。 Slave DNS server 架设 在 192.168.100.10 这 部 服务 器 上 面 (所 以 zone file 要 修订 ) 


如 上 所 示 ， 我 们 的 master.centos.vbird 这 部 服务 器 除了 named.conf 需要 调整 之 外 ， 两 个 
zone file 也 都 需要 调整 | 在 named.conf 当中 ， 需 要 设 定 哪 个 |P 可 以 对 我 的 zone 进行 传输 
(allow-transfer) ， 而 在 zone file 当中 ， 就 是 各 加 入 一 笔 NS 的 记录 即 可 ! 增加 的 部 分 如 下 所 


示 : 


# 1\X， 修订 named.conf， 主 要 修改 zone 参数 内 的 allow-transfer 项 目 
[root@www ~]# vim /etc/named.conf 
, .前面 省 略 ,,.， 
Zone "centos.vbird" IN { 
type master,; 
file "named.centos.vbird"; 
allow-transfer { 192.168.100.10; }; // 在 这 里 新 增 slave 的 IP 
}; 
Zone "100.168.192.in-addr.arpa" IN { 
type master,; 
file "named.192.168.100"; 
allow-transfer { 192.168.100.10; }; // 在 这 里 新 增 slave 的 IP 


}; 


在 上 头 所 列 示 的 那 两 个 数据 库 档 案 当 中 ， 你 必须 要 新 增 所 需要 的 NS 标志 才 行 1 NS 对 应 的 主 
机 名 为 slave.centos.vbird ，IP 则 是 192.168.100.10 哆 ! 结果 如 下 : 


# 2\, 在 zone file 里 面 新 增 NS 标志 ， 要 注意 需要 有 A( 正 解 ) 及 PTR( 反 解 ) 的 设 定 
[root@www ~]# vim /var/named/named.centos.vbird 


$TTL 600 
@ IN SOA master.centos.vbird. vbird.www.centos.vbird. (人 
2011080402 3H 15M 1w 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS slave.centos.vbird. 

master.centos.vbird. IN A 192.168.100.254 

slave.centos.vbird. IN A 192.168.100.10 

@ IN MX 10 www.centos.vbird. 

,,,. (底下 省 略 ),,.， 

[root@www ~]# vim /var/named/named.192.168.100 

$TTL 600 

@ IN SOA master.centos.vbird,. vbird.www.centos.vbird. ( 
2011080402 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS SlLave,.centos,.vbird ， 

254 IN PTR master.centos.vbird. 

10 IN PTR slave.centos.vbird. 

(A 0 

# 要 特别 注意 一 件 事 ， 那 就 是 ， 你 的 zone file 内 的 序号 要 增加 1 鸟 哥 测 试 日 期 是 8/4， 

# 第 2 次 进行 ， 所 以 序号 就 以 该 天 的 日 期 为 准 来 设计 的 ! 最 后 记得 restart 一 下 啦 |! 


[root@www ~]# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages &#124; grep named 

starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 -u named -t /var/named/chroot 
.... (中 间 省 略 ).... 

zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080402 

zone centos.vbird/IN: loaded serial 2011080402 

zone 100.168.192.in-addr.arpa/IN: sending notifies (serial 2011080402) 

zone centos.vbird/IN: sending notifies (serial 2011080402) 


反正 重新 启动 过 named 后 ， 直 觉 记得 就 是 要 查阅 messages 登录 信息 就 对 了 。 从 上 表 的 输出 
来 看 ， 会 多 一 个 sending notifies (传送 注意 事项 ) 关键 词 的 数据 ， 那 就 是 提醒 slave DNS 来 比 
对 序号 大 小 了 上 所 以 ， 你 说 ， 序 号 有 没有 很 重要 呢 ? 当然 很 重要 啊 | 连 登录 讯息 都 会 告知 序 

号 的 大 小 哩 ! 这 样 master DNS 就 设 定 受 当 虽 | 接 下 来 玩 玩 Slave 的 设 定 吧 | 


19.5.2 Slave DNS 的 设 定 与 数据 库 权 限 问题 


既然 Slave DNS 也 是 DNS 服务 器 嘛 | 所 以 ， 当 然 也 是 需要 安装 bind, bind-chroot 等 等 的 软 
件 ! 这 部 份 回去 19.3.1 里 面 瞧 瞧 即 可 ， 反 正 记 得 使 用 yum 安装 就 对 了 。 接 下 来 得 要 设 定 
named.conf 吧 ? 而 既然 Master/Slave 的 数据 库 是 相同 的 ， 所 以 ， 理 论 上 ，named.conf 内 容 
就 是 大 同 小 弄 哆 ~ 唯一 要 注意 的 就 是 zone type 类 型 的 差异 ， 以 及 宣告 master 在 哪里 就 是 
了 。 至 于 zone filename 部 分 ， 由 于 zone file 都 是 从 master 取得 的 ， 透 过 named 这 个 程序 
来 主动 建立 起 需要 的 zone file， 因 此 这 个 zone file 放置 的 目录 权限 就 很 重要 ! 让 我 们 直接 来 
处 理 看 看 : 


# 1\， 准备 named.conf 的 内 容 : 
[root@clientlinux ~]# vim /etc/named.conf 
, .,. (前 面 的 部 分 完全 与 master .centos.vbird 相同 ， 故 省 略 )..,.. 
Zone "centos.vbird" IN { 
type slave; 
file "slaves/named.centos.vbird"; 
masters { 192.168.100.254; }; 
}; 
Zone "100.168.192.in-addr.arpa" IN { 
type slave; 
file "slaves/named.192.168.100"; 
masters { 192.168.100.254; }; 


}; 


# 2\， 检查 zone file 预计 建立 的 目录 权限 是 否 正 确 ! 底下 目录 为 系统 默认 值 : 
[root@clientlinux ~]# 11 -d /var/named/slaves 

drwxrwx---. 2 named named 4096 2011-06-25 11:48 /var/named/slaves 
# 注意 权限 、 使 用 者 以 及 群 组 三 个 字段 的 数据 ! 需要 与 named 这 个 用 户 及 群 组 有 关 ! 


[root@clientlinux ~]# 11 -dz /var/named/slaves 
drwxrwx---. named named system u:object_r:named_ cache t:s0 /var/named/slaves 
# 也 不 要 忘记 与 SELinux 有 关 的 事情 ! 


为 了 方便 使 用 者 设 定 ，CentOS 预 设 在 varnamed/slaves/ 处 理 好 了 相关 权限 ~ 所 以 你 可 以 轻 
松 的 处 理 权 限 问 题 ~ 我 们 就 建议 你 的 slave zone file 放置 在 该 目录 下 |! 所 以 上 表 当 中 的 file 
参数 才 会 这 么 写 一 此 外 ， 那 个 masters 结尾 有 个 S 哩 ! 这 里 最 容易 写 错 ~ 那么 要 不 要 处 理 
zone file 呢 ? 除了 named.ca 这 个 .需要 主动 存在 之 外 ， 另 外 两 个 type slave 的 数据 库 档 

案 ， 当 然 不 必 存 在 啊 ! 因为 会 从 master 处 取得 嘛 ! 接 下 来 ， 就 让 我 们 来 启动 named 并 进行 


[root@clientlinux ~]# /etc/init.d/named start 

[root@clientlinux ~]# chkconfig named on 

[root@clientlinux ~]# tail -n 30 /var/log/messages &#124; grep named 
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.e]16 0.1 -u named -t /var/named/chroot 
loading configuration from '/etc/named.conf' 

de fe 

running 

zone 100.168.192.in-addr.arpa/IN: Transfer started. 

zone 100.168.192.in-addr.arpa/IN: transferred serial 2011080402 

zone centos.vbird/IN: Transfer started. 

zone centos.vbird/IN: transferred serial 2011080402 &lt;== 注 意 序号 正确 否 
# 你 会 看 到 如 上 的 讯息 ， 重 点 是 还 有 告知 序号 喔 |! 非常 重要 ! 





[root@clientlinux ~]# 11 /var/named/slaves 

-rw-r--r--. 1 named named 3707 2011-08-05 14:12 named.192.168.100 
-rw-r--r--. 1 named named 605 2011-08-05 14:12 named.centos.vbird 
# 这 两 个 zone file 会 主动 被 建立 起 来 呢 ! 


[root@clientlinux ~]# dig master.centos.vbird @127.0.0.1 
[root@clientlinux ~]# dig -x 192.168.100.254 @127.0.0.1 
# 上 述 两 个 检测 的 指令 如 果 是 正确 的 显示 出 A 与 PTR 的 话 ， 那 就 完成 了 ! 


你 瞧 ! 如 此 一 来 你 的 zone file 就 会 主动 的 被 建立 起 来 喔 ! 未 来 如 果 你 的 master DNS 要 更 新 
数据 库 时 ， 只 要 修改 过 序号 ， 并 重新 启动 named 后 ， 这 部 slave DNS 就 会 跟着 更 新 啦 | 
啊 ! 站 是 『 福 气 啦 1」 1! 1! 不过， 如果 你 发 现 到 启动 slave DNS 时 ， 你 的 登录 信息 竟然 是 这 
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样 : 


zone centos.vbird/IN: Transfer Started 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: connected using 
192.168 .100 .10#58187 

dumping master file: tmp-albYfCcd3i3: open: permission denied 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: failed while receiving 
responses: permission denied 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: end of transfer 


如 果 出 现 类 似 这 样 的 讯息 时 ， 不 必 怀 疑 啦 | 肯定 是 权限 错误 啦 ! 请 再 次 检查 你 的 数据 库 档案 
所 放置 的 目录 权限 是 否 可 以 让 named 写 入 啊 1 处理 处 理 就 好 了 | 现在 ， 你 的 DNS 会 变 的 更 
加 强壮 鹃 ! 因为 有 类 似 的 备 援 系统 哩 一 不 过 仍然 要 注意 的 是 ， 网 络 查 询 centos.vbird 时 ， 
master 与 slave 的 地 位 是 相同 的 ， 并 不 是 master 挂 点 才 使 用 slave 来 查询 喔 ! 所 以 ， 这 两 部 
服务 器 的 相同 domain 的 数据 库 内容 要 完全 一 致 才 行 ! 


让 


19.5.3 建 置 子 域 DNS 服务 器 : 子 域 授 权 课 题 


除了 Master/Slave 需要 协同 DNS 服务 器 共同 提供 服务 之 外 ，DNS 之 间 如 果 有 上 层 、 下 属 的 
关系 时 ， 该 如 何 设 定 ? 亦 即 ， 假 设 我 的 网 域 很 大 ， 我 只 想 要 负责 上 层 的 DNS 而 已 ， 下 层 项 
望 直 接 交 给 各 单位 的 负责 人 来 负责 ， 要 怎么 设 定 呢 ? 举 个 例子 来 说 ， 以 成 大 为 例 ， 成 大 计 中 
仅 管理 各 个 系 所 的 DNS 服务 器 IP 而 已 ， 由 于 各 个 系 所 的 主机 数量 可 能 很 大 ， 如 果 每 个 人 都 
要 请 计 中 来 设 定 ， 那 么 管理 员 可 能 会 疯 掉 ， 而 且 在 实际 设计 上 也 不 太 人 性 化 。 


及 


所 以 嘿 ， 计 中 就 将 各 个 subdomain ( 子 域 ) 的 管理 权 交 给 各 个 系 所 的 主机 管理 员 去 管理 ， 如 此 
一 来 ， 各 系 所 的 设 定 上 面 会 比较 灵活 ， 且 上 层 DNS 服务 器 管理 员 也 不 用 太 麻 烦 呐 ! 


好 了 ， 那 么 如 何 开放 子 域 授 权 呢 ? 我 们 以 刚刚 在 master 上 面 建立 的 centos.vbird 这 个 zone 
为 例 ， 假 设 今天 你 是 个 ISP ， 有 个 人 想 要 跟 你 申请 domain name ， 他 要 的 domain 是 『 
niki.centos.vbird 4 ， 那 你 该 如 何 处 理 ? 


e。 上 层 DNS 服务 器 : 亦 即 是 master.centos.vbird 这 一 部 ， 只 要 在 centos.vbird 那个 zone 
file 内 ， 增 加 指定 NS 并 指向 下 层 DNS 的 主机 名 与 IP (A) 即 可 ， 而 zone file 的 序号 也 要 
增加 才 行 ; 


e 下 层 DNS 服务 器 : 申请 的 领域 名 必须 是 上 层 DNS 所 可 以 提供 的 名 称 ， 并 告知 上 层 DNS 
管理 员 ， 我 们 这 个 zone 所 需 指 定 的 DNS 主机 名 与 对 应 的 |P 即 可 。 然 后 就 开始 设 定 自己 
的 zone 与 zone file 相关 数据 。 


假设 我 们 管理 niki.centos.vbird 的 服务 器 主机 名 为 dns.niki.centos.vbird ， 而 这 部 主机 的 |IP 为 
192.168.100.200 ， 那 接 下 来 就 让 我 们 实际 来 设 定 吧 ! 


e。 上 层 DNS 服务 器 : 只 需 新 增 zone file 的 NS 与 A 即 可 


上 层 DNS 的 处 理 真 是 简单 到 爆炸 ! 我 们 只 要 修改 master DNS (www.centos.vbird 那 一 部 ) 里 
面 的 named.centos.vbird 这 个 正解 档案 即 可 。slave DNS 不 用 修改 ， 是 因为 他 会 自动 更 新 
嘛 ! 新 增 如 下 的 数据 即 可 : 


[root@www ~]# vim /var/named/named.centos.vbird 
IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080501 3H 15M 1w 1D ) 
# 上 面 的 SOA 部 分 序号 加 大 ， 底 下 新 增 这 两 行 即 可 (原本 的 数据 都 保留 不 动 ) ! 
niki.centos.vbird. IN NS dns.niki.centos.vbird. 
dns.niki.centos.vbird. INA 192.168.100.200 


[root@www ~]# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages &#124; grep named 

Aug 5 14:22:36 www named[9564]: zone centos.vbird/IN: loaded serial 2011080501 
# 登录 档 的 关键 是 上 面 的 序号 部 分 ~ 必须 是 我 们 卉 写 的 新 的 序号 才 对 ! 


[root@www ~]# dig dns.niki.centos,vbird @127.0.0.1 
# 你 会 发 现 是 错误 的 ! 找 不 到 A 喔 ! 


上 层 DNS 的 设 定 非常 简单 ! 只 要 修改 zone file 即 可 一 不 过 ， 由 于 zone file 指定 的 是 NS 的 
查询 权 功 能 ， 因 此 ， 最 后 那个 指令 在 dig dns.niki.centos.vbird 时 ， 却 会 找 不 到 A 喔 1 那 是 正 
常 的 一 因为 192.168.100.200 尚未 设 定好 niki.centos.vbird 这 个 领域 嘛 ! 所 以 追踪 的 结果 并 没 
有 发 现在 192.168.100.200 有 niki.centos.vbird 的 zone 啊 ! 所 以 当然 找 不 到 。 此 时 数据 库 的 
管理 权 在 192.168.100.200 上 啦 ! 这 样 可 以 理解 吗 ? 再 来 处 理 下 层 DNS 吧 ! 


e。 下层 DNS 服务 器 : 需要 有 完整 的 zone 相关 设 定 


下 层 的 DNS 设 定 就 与 19.4 的 详细 内 容 一 样 了 ! 所 以 在 这 里 我 们 仅 列 出 重要 的 项 目 : 


# 1\， 修改 named.conf ， 增 加 zone 的 参数 ， 假 设 档 名 为 named.niki.centos.vbird 
[root@niki ~]# vim /etc/named.conf 
,... (前 面 省 略 ) ,，, ， 
zone "niki.centos.vbird" IN { 
type master,; 
file "named.niki.centos.vbird"; 


}; 


# 2\， 建立 named.niki.centos.vbird 
[root@niki ~]# vim /var/named/named.niki.centos.vbird 


$TTL 600 

@ IN SOA dns.niki.centos.vbird. root.niki.centos.vbird. ( 
2011080501 3H 15M 1W 1D ) 

@ IN NS dns.niki.centos.vbird. 

dns IN A 192.168.100.200 

Www IN A 192.168.100.200 

@ IN MX 10 www.niki,.centos.vbird. 


@ IN A 192.168.100.200 
# 为 了 简化 整个 版 面 ， 所 以 鸟 哥 都 使 用 hostname 而 非 FQDN ! 请 见谅 ! 


# 3\， 启动 并 观察 相关 登录 信息 

[root@niki ~]# /etc/init.d/named restart 

[root@niki ~]# tail -n 30 /var/log/messages &#124; grep named 

,.. (前面 省 略 ) ,,.. 

zone niki.centos.vbird/IN: loaded serial 2011080501 

.... (底下 省 略 ),... 

# 同时 ，&]t;U&gt; 记 得 处 理 一 下 防火 墙 的 放行 问题 &1t ;/Uu&gt; ! 否则 测试 会 失败 1 ! 


[root@niki ~]# dig www.niki.centos.vbird @192.168.100.254 
# 上 述 的 动作 必须 要 有 响应 才 行 ! 否则 就 会 出 问题 一 


19.5.4 依 不 同 接口 给 予 不 同 的 DNS 主机 名 : view 功能 的 应 用 


想象 一 个 环境 ， 以 我 们 目前 的 局 域 网 络 服务 器 来 说 ， 我 的 master.centos.vbird 有 两 个 界面 ， 
分 别 是 192.168.100.254/24 (对 内 ) 及 192.168.1.100/24 (对 外 )， 那 当 我 外 边 的 用 户 想 要 了 解 
到 master.centos.vbird 这 部 服务 器 的 IP 时 ， 取 得 的 竟然 是 192.168.100.254， 因 此 还 得 要 透 
过 NAT 才能 联机 到 该 接口 ， 但 明明 192.168.100.254 与 外 部 的 192.168.1.100 是 同一 台 服 务 
器 主机 嘛 ! 干 嘛 还 得 要 经 过 NAT 转 到 内 部 接口 呢 ? 有 没有 办 法 让 外 部 的 查询 找到 
master.centos.vbird 是 192.168.1.100 而 内 部 的 找到 则 回应 192.168.100.254 呢 ? 可 以 的 ! 
那 就 透 过 view 的 功能 ! 


那么 view 要 怎么 处 理 呢 ? 其 实 就 是 让 不 同 来 源 的 用 户 ， 能 够 取得 他 们 自己 的 zone 响应 就 是 
了 。 举例 来 说 ， 当 用 户 来 自 10.0.0.1 时 ， 这 个 来 源 不 可 能 是 内 部 (192.168.100.0/24) ， 因 此 
这 个 来 源 就 会 使 用 外 部 的 zone file 内 容 来 响应 。 因 此， 我 们 就 得 要 准备 同一 个 zone 需要 两 
个 不 同 的 设 定 ， 再 将 个 别 的 设 定 带 入 自己 的 客户 端 查 询 当 中 。 


现在 我 们 针对 这 个 概念 ， 对 于 岛 哥 的 区 网 设 定 view 的 原则 是 这 样 的 : 


。 建立 一 个 名 为 intranet 的 名 字 ， 这 个 名 字 代 表 客 户 端 为 192.168.100.0/24 的 来 源 ; 

。 建立 一 个 名 为 internet 的 名 字 ， 这 个 名 字 代 表 客 户 端 为 非 192.168.100.0/24 的 其 他 来 源 

。 intranet 使 用 的 zone file 为 本 章 前 面 各 小 节 所 建立 的 zone filename ， internet 使 用 的 
zone filename 则 在 原本 的 档 名 后 面 累 加 inter 的 扩展 名 ， 并 修订 各 标志 的 结果 。 


再 次 强调 ， 最 终 的 结果 当中 ， 从 内 网 查 到 的 www.centos.vbird IP 应 该 是 192.168.100.254 ， 
而 只 要 不 是 鸟 哥 内 网 来 源 的 客户 端 ， 查 到 的 www.centos.vbird IP 应 该 是 192.168.1.100 才 
对 | 那 就 让 我 们 来 实际 设 定 此 一 项 目 吧 | 


[root@www ~]# vim /etc/named.conf 


options { 
directory "/var/named"; 
dump-file "/var/named/data/cache_dump.db"; 


statistics-file "/var/named/data/named_ stats.txt"; 
memstatistics-file "/var/named/data/named mem_ stats.txt"; 
allow-query { any; }; 

recursion yes; 

allow-transfer { none; }; 


}; 
acl intranet { 192.168.100.0/24; }; &]t;== 针 对 intranet 给 予 的 来 源 IP 指定 
acl internet { ! 192.168.100.0/24; any; }; &lt;== 加 上 惊叹 号 (!) 代表 反 向 选择 的 意思 
view "lan" { &lt;== 只 是 一 个 名 字 ， 代 表 的 是 内 网 
match-clients { "intranet"; }; &lt;== 吻 合 这 个 来 源 的 才 使 用 底下 的 zone 
Zone "." IN{ 
type hint; 


file "named.ca"; 
}; 
zone "centos.vbird" IN { 
type master; 
file "named.centos.vbird"; 
allow-transfer { 192.168.100.10; }; 
}; 
Zone "100.168.192.in-addr.arpa" IN { 
type master; 
file "named.192.168.100"; 
allow-transfer { 192.168.100.10; }; 


}; 
}; 
view "wan" { &1t; == 同样 ， 只 是 个 名 字 而 已 ! 
match-clients { "internet"; }; &lt;== 代 表 的 则 是 外 网 的 internet 来 源 
Zone "." IN { 
type hint; 
file "named.ca"; 
}; 
zone "centos.vbird" IN { 
type master; 
file "named.centos.vbird,.inter"; &1t;== 档 名 必须 与 原 有 的 不 同 ! 
}; 
// 外 网 因为 没有 使 用 到 内 网 的 TP， 所 以 IP 反 解 部 分 可 以 不 写 于 此 
}; 


上 表 中 ， 有 些 数据 是 重复 的 ， 有 些 则 需要 经 过 修改 。 现 在 ， 让 我 们 来 改 改 
named.centos.vbird.inter 吧 ! 


[root@www ~]# cd /var/named 
[root@www named]# cp -a named.centos.vbird named.centos.vbird.inter 
[root@www named]# vim named.centos.vbird.inter 


$TTL 600 

@ IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080503 3H 15M 1w 1D ) 

@ IN NS master.centos.vbird. 

master.centos.vbird. IN A 192.168.1.100 

@ IN MX 10 www.centos.vbird. 

www.centos.vbird. IN A 192.168.1.100 

linux.centos.vbird. IN CNAME www.centos.vbird. 

ftp.centos.vbird. IN CNAME www.centos.vbird. 

forum.centos .vbird. IN CNAME www.centos.vbird. 


workstation.centos.vbird. IN A 192.168.1.101 


[root@www named]# /etc/init.d/named restart 

[root@www named]# tail -n 30 /var/log/messages 

[root@www named]# dig www.centos.vbird @192.168.100.254 
www.centos.vbird. 600 IN A 192.168.100.254 
# 要 得 到 上 面 的 IP 才 是 对 的 喔 | 因为 接口 来 自 于 192.168.100.0/24 网 段 


[root@wwww named]# dig www.centos.vbird @192.168.1.100 
www.Ccentos .vbird . 600 IN A 192.168.1.100 
# 要 得 到 上 面 的 IP 才 是 对 的 喔 ! 因为 接口 来 自 非 192.168.100.0/24 网 段 


有 没有 很 简单 ! 这 样 就 能 让 你 的 DNS 依据 不 同 的 用 户 来 源 ， 分 别 给 予 同一 个 主机 名 的 不 同 解 
析 呢 ! 


例题 : 你 的 网 站 读者 非常 的 多 ， 但 是 分 布 在 世界 各 地 。 你 想 让 亚洲 区 的 读者 联机 到 台湾 的 站 

台 ， 而 其 他 国家 的 联机 则 连 到 美国 的 站 台 ， 但 又 不 想 要 让 使 用 者 自己 挑选 不 同 的 主机 名 ， 想 
使 用 同一 组 主机 名 ， 此 时 该 如 何 是 好 ? 答 : 乌 可 可 以 想到 的 最 简单 的 方案 ， 就 是 透 过 DNS 来 
设 定 相同 主机 名 的 不 同 IP 目标 ， 亦 即 是 透 过 view 来 规范 即 可 。 不过， 与 上 述 鸟 哥 的 区 网 简 

单 范 例 不 同 ， 我 们 得 要 收集 亚洲 区 的 IP 才 行 ， 这 些 区 段 可 能 可 以 透 过 底下 的 网 站 来 取得 


e 五 大 洲 的 IP 管理 所 属 人 : http://www.iana.org/numbers/ 

e 每 个 单位 的 IP 分 布 : http://www.iana.org/assignments/ipv4-address-space/ipv4- 
address-space.xml 

e 台湾 地 区 IP 分 布 : http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp? 
Order=inet aton%28Startip%29 


然后 再 透 过 ac| 以 及 view 来 规范 即 可 。 鸟 哥 的 收集 资料 如 下 ， 如 果 有 误 ， 还 请 告知 ! 


acl asia { 1.0.0.0/8; 14.0.0.0/8; 27.0.0.0/8; 36.0.0.0/8; 39.0.0.0/8 
42.0.0.0/0; 49.0.0.0/8; 58.0.0.0/8; 59.0.0.0/8; 60.0.0.0/8; 
61.0.0.0/8; 101.0.0.0/8; 103.0.0.0/8; 106.0.0.0/8; 110.0.0.0/8; 
111.0.0.0/8; 112.0.0.0/8; 113.0.0.0/8; 114.0.0.0/8; 115.0.0.0/8; 
116.0.0.0/8; 117.0.0.0/8; 118.0.0.0/8; 119.0.0.0/8; 120.0.0.0/8 
121.0.0.0/8; 122.0.0.0/8; 123.0.0.0/8; 124.0.0.0/8; 125.0.0.0/8; 
126.0.0.0/8; 175.0.0.0/8; 180.0.0.0/8; 182.0.0.0/8; 183.0.0.0/8; 
202.0.0.0/8; 203.0.0.0/8; 210.0.0.0/8; 211.0.0.0/8; 218.0.0.0/8; 
219.0.0.0/8; 220.0.0.0/8; 221.0.0.0/8; 222.0.0.0/8; 223.0.0.0/8; 
139.175.0.0/16; 140.0.0.0/8;150.116.0.0/16;150.117.0.0/16; 
163.0.0.0/8; 168.95.0.0/16; 192. 0.0.0/8; 


}; 


acl nonasia { ! "asia"; any; }; 


如 上 所 示 ， 加 入 asia 与 nonasia 的 相关 设 定 ， 再 使 用 view 来 处 理 相关 的 zone ， 并 修改 
zone file 内 容 ， 就 能 够 处 理 好 这 个 案例 的 需求 嘿 ! 


19.6 DNS 服务 器 的 进 阶 设 定 
其 实 ，DNS 服务 器 的 运作 原理 与 架设 方式 的 变化 ， 申 的 很 高 深 英 测 的 | 在 这 里 ， 我 们 额外 的 


提出 一 些 比较 进 阶 的 内 容 给 大 家 参考 参考 ， 例 如 架设 一 个 合法 授权 的 DNS 服务 器 以 及 利用 
rndc 控 管 DNS 系统 喔 ! 


4 


A 


19.6.1 架设 一 个 合法 授权 的 DNS 服务 3 


及 


好 啦 ! 现在 你 应 该 知道 什么 是 『 经 上 游 授 权 的 合法 DNS 服务 器 了 吧 ? 没 错 ! 就 是 上 游 的 
DNS 服务 器 将 子 域 的 查核 权 开 放 给 你 来 设 定 就 对 啦 ! 嘿 ! 虽然 知道 原理 ， 但 是 那么 我 要 如 何 
来 架设 一 个 合法 的 DNS 服务 器 呢 ? 好 让 我 自己 管理 自己 的 domain ! 举例 来 说 ， 乌 哥 的 
vbird.idv.tw 就 是 岛 哥 自己 管理 的 哩 一 底下 我 们 就 来 谈 一 谈 ， 如 何 向 ISP 申请 一 个 合法 授权 的 
DNS 服务 器 ， 或 者 是 合法 的 主机 名 啊 ! 


e@ 1. 申请 一 个 合法 的 domain name ... 就 是 要 花 钱 ! 


既然 是 要 建立 一 个 合法 的 DNS server， 自 然 就 要 向 合法 的 |SP 申请 授权 鹃 ! 目前 你 可 以 到 底 
下 的 地 方 去 申请 喔 ! 


e http://www.twnic.net/index3.php 


其 实 TWNIC 已 经 将 台湾 地 区 的 一 些 domain 授权 给 各 大 ISP 管理 了 ， 所 以 你 连接 上 述 的 网 站 
之 后 ， 可 以 点 选 里 头 相 关 的 连结 到 各 大 1SP 去 注册 ! 例如 乌 哥 就 在 Hinet 注册 了 vbird.idv.tw 
这 个 网 域 ! 现在 鸟 哥 就 以 Hinet 的 注册 做 为 说 明 吧 : 


1. 进入 主 画 面 : 直接 连结 到 底下 的 网 页 去 : http://domain.hinet.net 


2. 选择 需要 的 域名 ， 并 查询 该 网 域 是 否 已 存在 : 因为 网 域 必 需 是 独一无二 的 ， 所 以 你 必需 
使 用 该 网 页 当中 提供 的 查询 功能 ， 去 查询 一 下 你 想 要 的 网 域 是 否 已 经 被 注册 了 呢 ? 一定 
要 没有 被 注册 的 网 域 才 可 以 喔 ! 


3.， 逐步 进行 注册 : 你 可 以 选择 很 多 种 类 的 领域 来 注册 ， 如 果 想 要 注册 个 人 网 站 ， 请 按 下 图 
所 指 的 (1) 处 ， 如 果 想 要 注册 类 似 vbird.tw 这 种 网 域 的 话 ， 则 可 以 选择 (2) 所 指 的 那个 项 
目 。 然 后 以 该 网 站 提供 的 功能 一 步 一 步 的 往 下 去 进行 ， 例 如 以 鸟 哥 的 『 个 人 网 址 J 之 注 
册 为 例 ， 按 下 个 人 网 址 之 后 ， 会 出 现 流程 步骤 为 : 


全 英文 域名 (com tw/org twinet,tw) 


全 | 个 人 域名 (idv tw 
> 网 域名 稳 申 请 DE | 


» 身份 确认 
» 朝 帐 涩 莫 通 知 定 瑟 
> 信用 卡 流 蓉 作 米 
» 记 TMI 电 瞧 ) 洪 营 作 米 
» 口 MS 畦 动 与 查询 
> 引 有 上 密码 时 动 AS 3 
> 用 户 咨 料 查询 / 黑 动 
网 域名 称 移 朝 
» 感 理 洪 度 查询 9 
命中 文 网 域 ( twy ,台湾 ) 
全 泛 用 型 英文 域名 pe 
售 国际 域名 (com) 图 19.6-1、 以 Hinet 网 站 为 依据 介绍 注册 domain 的 


方法 





请 依 序 一 步 一 步 的 将 他 完成 ， 最 后 你 会 得 到 一 组 账号 密码 ， 就 能 够 修改 自己 的 领域 啦 ! 


4.， 选择 网 站 代 管 或 架设 DNS 模式 : 我 们 可 以 直接 请 ISP 帮 我 们 设 定好 host 对 应 IP 就 好 
(最 多 三 部 )， 当 然 也 可 以 自行 设 定 一 下 我 们 所 需要 的 DNS 服务 器 啦 ! 如 果 未 来 你 可 能 会 
架设 mail server ， 所 以 还 是 自行 设 定 DNS 主机 好 了 | 你 可 以 选择 图 19.6-1 在 (3) 所 指 

的 『DNS 了 异动 与 查询 」〗 项 目 ， 会 出 现下 面 图 标 。 记 得 选择 FDNSJ 及 填写 你 的 hostname 

与 正确 的 IP 即 可 喔 1 注意 : 要 十 选 这 个 项 目 ， 最 好 你 的 IP 是 固定 制 的 ， 浮 动 制 的 IP 不 

建议 用 这 个 选项 ! 

指定 型 能 说明 : 

台湾 秽 踢 资讯 中 心 提供 HOSTIP 指 定 服 藉 (DNS 代 管 ) ; 但 只 有 三 部 Host 的 限 

制 ， 大 您 的 主楼 数 超 近 三 部 或 需要 IP 以 外 的 征 圭 (如 MX record es 

record) 请 自行 架设 是 DNS ，DNS 组 Host 型 能 插 法 总 存 。 
wbird.idw tw 指定 型 能 个 主机 仿 DNS 

DNS/Host Seryer Name IP Address 
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图 19.6- 


5，2. 以 DNS 服务 器 的 详细 设 定 (19.4) 之 设 定 内 容 来 设 定 你 的 主机 : 


如 果 你 已 经 以 DNS 服务 器 的 方式 申请 了 一 个 domain name ， 那 么 你 就 必须 要 设 定 你 的 DNS 
主机 了 |! 请 注意 ， 这 个 情况 之 下 ， 你 只 要 设 定 你 的 注册 的 网 域 的 正解 即 可 1 反 解 部 分 则 先 不 
要 理会 ， 当 然 ， 如 果 你 有 办 法 的 话 ， 最 好 还 是 请 上 层 的 ISP 帮 你 设 定 哆 ! 


e 3. 测试 : 


设 定 一 部 合法 的 DNS 完毕 后 ， 建 议 你 可 以 到 这 个 网 站 去 查询 一 下 你 的 设 定 是 否 妥 


此 


e http://thednsreport.com/ 


如 此 一 来 ， 你 的 DNS 主机 上 面 设 定 的 任何 信息 ， 都 可 以 透 过 Internet 上 面 的 任何 一 部 主机 来 
查询 到 吗 上 够 棒 吧 | 心动 了 吗 ? 赶 eg AAA 


19.6.2 LAME Server 的 问题 
或 许 你 曾经 在 /varlog/messages 里 面 看 到 类 似 这 样 的 讯息 : 


[root@www ~]# more /var/log/messages 

1 Oct 5 05:02:30 test named[432]: lame server resolving '68.206.244.205. 
in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 205.244.200.3#53 

2 Oct 5 05:02:31 test named[432]: lame server resolving '68.206.244.205. 
in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 206.105.201.35#53 

3 Oct 505:02:41 test named[432]: lame server resolving '68.206.244.205. 
in-addr .arpa' (in '206.244.205.in-addr.arpa'?): 205.244.112.20#53 


这 是 什么 东西 呐 ? 根据 官方 提供 的 文件 资料 来 看 ( 在 你 的 CentOS 6.x 的 系统 下 ， 请 察看 这 个 
档案 『 /usr/share/doc/bind-9.7.0/arm/Bv9ARM.ch06.html 」 )， 当 我 们 的 DNS 服务 器 在 向 外 
面 的 DNS 系统 查询 某 些 正 反 解 时 ， 可 能 由 于 『 对 方 ] DNS 主机 的 设 定 错 误 ， 导 致 无 法 解析 
到 预期 的 正 反 解 结果 ， 这 个 时 候 就 会 发 生 所 谓 的 lame server 的 错误 ! 


那么 这 个 错误 会 让 我 们 的 DNS 服务 器 发 生 什 么 严重 的 后 果 吗 ? 既然 仅 是 对 方 的 设 定 错误 ， 所 
以 自然 就 不 会 影响 我 们 的 DNS 服务 器 的 正常 作业 了 。 只 是 我 们 的 DNS i ， 会 发 
生 无 法 正确 解析 的 警告 讯息 而 已 ， 这 个 讯息 虽然 不 会 对 我 们 的 Linux 困扰 ， 不 

过 ， 对 于 系统 管理 员 来 说 ， 要 天 天 查询 的 /var/log/messages 档案 竟然 有 这 么 多 的 登录 信 

息 ， 这 是 很 讨厌 的 一 件 事 ! 


好 了 ， 我 们 知道 lame server 是 对 方 主机 的 问题 ， 对 我 们 主机 没有 影响 ， 但 是 却 又 不 想 要 让 该 

讯息 出 现在 我 们 的 登录 档 /var/log/messages 当中 ， 怎 么 达到 这 样 的 功能 呢 ? 呵呵 | 就 直接 利 
用 BIND 这 个 软件 所 提供 的 登录 文件 参数 啊 | 动作 很 简单 ， 在 你 的 /etc/named.conf 档案 当中 
的 最 底下 ， 加 入 这 个 参数 即 可 : 


# 1\， 修改 /etc/named .conf 
[root@www ~]# vim /etc/named.conf 
// 加 入 底下 这 个 参数 : 
logging { 
category lame-servers { null; }; 
}; 


# 2\， 重 新 启动 bind 
[root@www ~]# /etc/init.d/named restart 


基本 上 ， 那 个 logging 是 主机 的 登录 文件 记录 的 一 个 设 定 项 目 ， 因 为 我 们 不 要 lame server 的 
信息 ， 所 以 才 将 他 设 定 为 无 (nul) ， 这 样 就 改 完 了 ! 记得 重新 启动 named 之 后 ， 还 是 要 察看 
一 下 /var/log/messages 吕 ! 以 确定 named 的 正确 启动 与 否 ! 然后 ， 嘿 嘿 ， 以 后 就 不 会 看 到 
lame server 咯 |! 


19.6.3 利用 RNDC 指令 管理 DNS 服务 器 


不 知道 你 会 不 会 觉得 很 奇怪 ， 那 就 是 为 啥 启动 DNS 后 ， 在 /var/log/messages 老 是 看 到 这 一 


command channel listening on 127.0.0.1#953 


而 且 在 本 机 端的 port 953 还 多 了 个 named 所 启动 的 服务 ， 那 是 哈 ? 那 就 是 所 谓 的 rndc 了 。 
这 个 rndc 是 BIND version 9 以 后 所 提供 的 功能 啦 ， 他 可 以 让 你 很 轻松 的 管理 你 自己 的 DNS 

务 器 喔 ! 包括 可 以 检查 已 经 存在 DNS 快 取 当 中 的 资料 、 重 新 更 新 某 个 zone 而 不 需要 重新 
启动 整个 DNS ， 以 及 检查 DNS 的 状态 与 统计 资料 等 等 的 ， 挺 有 趣 的 ! 


不 过 ， 因 为 rndc 可 以 很 深入 的 管理 你 的 DNS 服务 器 ， 所 以 当然 要 进行 一 些 控 管 啦 | 控 管 的 

方式 是 经 过 rndc 的 设 定 来 建立 一 支 密 钥 (rndc key)， 并 将 这 支 密 钥 相关 的 信息 写 入 
named.conf 配置 文件 当中 ， 重 新 启动 DNS 后 ， 你 的 DNS 就 能 够 藉 由 rndc ee 
"| 的 ， 新 版 的 distributions 通常 已 经 帮 你 主动 的 建立 好 rndc key 了 ， 所 以 你 不 需 
本 ~ 不 过 ， 如 果 你 还 是 在 登录 档 当中 发 现 一 些 错误 ， 例 如 : 


couldn't add command channel 127.0.0.1#953: not found 


那 就 表示 你 DNS 的 rndc key 没有 设 定 好 啦 ! 那 要 如 何 设 定好 ?很 简单 全 只 要 先 建立 一 把 
rndc key ， 然 后 加 到 named.conf 当中 去 即 可 ! 你 可 以 使 用 bind 提供 的 指令 来 进行 这 样 的 工 
作 喔 ! 


# 1\， 先 建立 rndc key 的 相关 数据 吧 ! 
[root@www ~]# rndc-confgen 
# Start of rndc.conf &1t;== 底 下 没有 # 的 第 一 部 份 请 复制 到 /etc/rndc.conf 中 
key "rndc-key" { 
algorithm hmac-md5; 
secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 


options { 
default-key "rndc-key"; 
default-server 127.0.0.1; 
default-port 953 


厅 "一 


End of rndc.conf 


至 于 底下 的 key 与 controls 部 分 ， 则 请 复制 到 named.conf 且 解 开 # 喔 ! 
Use with the following in named.conf, adjusting the allow list as needed : 
key "rndc-key" { 
algorithm hmac-mds; 
secret "UUqxyIwui+22CobCYFjS5Skg=="; 
}; 


controls { 
inet 127.0.0.1 port 953 
allow { 127.0.0.1; } keys { "rndc-key"; }; 
}; 
End of named.conf 
请 注意 ， 这 个 rndc-confgen 是 利用 随机 数 计算 出 加 密 的 那 把 key ， 
所 以 每 次 执行 的 结果 都 不 一 样 。 所 以 上 述 的 数据 与 你 的 屏幕 会 有 点 不 同 。 


亲 亲 闪闪 闪闪 亲 亲 闪闪 亲 闪闪 和亲 


# 2\， 建 立 rndc.key 档案 
[root@www ~]# vim /etc/rndc.key 
# 在 这 个 档案 当中 将 原本 的 数据 全 部 删除 ， 并 将 刚刚 得 到 的 结果 给 他 贴 上 去 
key "rndc-key" { 
algorithm hmac-mds; 
secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 


# 3\， 修改 named .conf 
[root@www ~]# vim /etc/named.conf 
# 在 某 个 不 被 影响 的 角落 建 置 如 下 的 内 容 : 
key "rndc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjS5kg=="， 
}; 
controls { 

inet 127.0.0.1 port 953 

allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 


[root@www ~]# /etc/init.d/named restart 


建立 了 rndc key 并 且 启 动 DNS ， 同 时 你 的 系统 也 已 经 有 port 953 之 后 ， 我 们 就 可 以 在 本 机 
执行 rndc 这 个 指令 了 。 这 个 指令 的 用 法 请 直接 输入 rndc 来 查询 即 可 : 


[root@www ~]# rndc 
Usage: rndc [-c config] [-s server] [-p port] 
[-k key-file ] [-y key] [-V] command 


command is one of the following: 


reload Reload configuration file and zones. 

stats Write server statistics to the statistics file. 
dumpdb Dump cache(s) to the dump file (named_dump.db). 
flush Flushes all of the server's caches. 

status Display status of the server. 


# 其 他 就 给 他 省 略 啦 ! 请 自行 输入 这 个 指令 来 参考 嘿 ! 


那 如 何 使 用 呢 ? 我 们 举 几 个 小 例子 来 说 明 吧 ! 


# 范例 一 : 将 目前 DNS 服务 器 的 状态 显示 出 来 
[root@www ~]# rndc status 

version: 9.7.0-P2-RedHat-9.7.0-5.P2.e16 0.1 
CPUs found: 1 

worker threads: 1 


number of zones: 27 &1lt;== 这 部 DNS 管理 的 zone 数量 
debug level: 0 &1t; == 是否 具有 debug 及 debug 的 等 级 


xfers running: 0 

xfers deferred: 0 

soa queries in progress: 0 

query logging is OFF &1t; == 是否 具 有 debug 及 debug 的 等 级 
recursive clients: 0/0/1000 

tcp clients: 0/100 

server is up and running &1lt ;== 是 否 具有 debug 及 debug 的 等 级 


# 范例 二 : 将 目前 系统 的 DNS 统计 数据 记录 下 来 
[root@www ~]# rndc stats 
# 此 时 ， 预 设 会 在 /var/named/data 内 产生 新 档案 ， 你 可 以 去 查阅 : 
[root@www ~]# cat /var/named/data/named_stats.txt 
+++ Statistics Dump +++ (1312528012) 
(中 间 省 多 
++ Zone Maintenance Statistics ++ 
2 IPv4 notifies sent 
++ Resolver Statistics ++ 
有 
++ Cache DB RRsets ++ 
[View: lan (Cache: lan)] 
[View: wan (Cache: wan)] 
[View: _bind (Cache: _bind)] 
[View: _meta (Cache: _meta)] 
++ Socket I/0 Statistics ++ 
5 UDP/IPVv4 sockets opened 
4 TCP/IPVv4 sockets opened 
2 UDP/IPVv4 sockets closed 
1 TCP/IPVv4 sockets closed 
2 TCP/IPv4 connections accepted 
++ Per Zone Query Statistics ++ 
--- Statistics Dump --- (1312528012) 


# 范例 三 : 将 目前 高 速 绥 存 当中 的 数据 记录 下 来 

[root@www ~]# rndc dumpdb 

# 与 Stats 类 似 ， 会 将 cache 的 数据 放置 成 为 一 个 档案 ， 你 可 以 去 查阅 : 
# /var/named/data/cache_ dump.db 


如 果 你 在 执行 rndc 指令 时 老 是 出 现 如 下 错误 : 


rndc: connection to remote host closed 

This may indicate that the remote server is using an older version of 
the command protocol, this host is not authorized to connect, 

or the key is invalid. 


这 表示 你 的 /etc/rndc.key 与 /etc/rndc.conf 内 窗 钥 的 编码 不 同 所 致 。 请 你 自行 以 上 述 的 rndc- 
confgen 的 方式 自行 处 理 你 的 rndc key ， 并 重新 启动 named 即 可 啊 ! 用 这 东西 管理 ， 你 就 
不 需要 每 次 都 重新 启动 named 史 ! ^ 人 和 ^ 


19.6.4 架设 动态 DNS 服务 器 : 让 你 成 为 ISP 啦 1 


什么 是 动态 DNS (Dynamic DNS, DDNS) 主机 呢 ? 还 记得 我 们 在 第 十 章 里 面 提 到 ， 如 果 我 们 
本 身 是 以 拨 接 制 的 ADSL 连 上 Internet 时 ， 我 们 的 IP 通常 是 ISP 随机 提供 的 ， 因 此 每 次 上 网 
的 |P 都 不 固定 ， 所 以 ， 我 们 没有 办 法 以 上 面 的 DNS 设 定 来 给 予 这 种 连 上 Internet 的 方法 一 
个 适当 的 主机 名 。 


也 因此 ， 如 果 我 们 想 要 利用 这 种 没有 固定 IP 的 联机 方法 架设 网 站 时 ， 就 得 要 有 特殊 的 管道 了 
一 其 中 之 一 的 方法 就 是 利用 Internet 上 面 已 经 提供 的 免费 动态 IP 对 应 主机 名 的 服务 ! 例 
如 : http://www.no-ip.org 。 


提供 这 样 的 服务 利用 的 是 什么 原理 呢 ? 基 本 上 ，DNS 主机 还 是 得 要 提供 Internet 相关 的 
zone 的 主机 名 与 IP 的 对 应 数据 才 行 ， 所 以 ，DDNS 主机 就 必须 要 提供 一 个 机 制 ， 让 客户 端 
可 以 透 过 这 个 机 制 来 修改 他 们 在 DDNS 主机 上 面 的 zone file 内 的 资料 才 行 。 


那 会 不 会 很 难 啊 ? 不 会 啊 ! 我 们 的 BIND 9 就 有 提供 类 似 的 机 制 啦 ! 那 就 是 利用 update- 
policy 这 个 选项 ， 配 合 认证 用 的 key 来 进行 数据 文件 的 更 新 。 简 单 的 说 ，1) 我 们 的 DDNS 主 
机 先 提供 Client 一 把 Key (就 是 认证 用 的 数据 ， 你 可 以 将 他 想 成 是 账号 与 密码 的 概念 ) ，2) 
Client 端 利 用 这 把 Key ， 并 配合 BIND 9 的 nsupdate 指令 ， 就 可 以 连 上 DDNS 主机 ， 并 且 
修改 主机 上 面 的 Zone file 内 的 对 应 表 了 。 感 党 上 很 像 很 简单 喔 ! 没 错 啊 ! 架设 上 缆 的 很 简单 
的 一 底下 我 们 就 来 尝试 设 定 一 下 嘱 : 

。 1. DDNS Server 端的 设 定 : 
假设 我 有 一 个 朋友 ， 他 使 用 的 Linux 主机 的 IP 是 会 随时 变动 的 ， 但 是 他 想 要 架设 Web 网 
站 ， 所 以 他 向 我 申请 了 一 个 领域 名 ， 那 就 是 web.centos.vbird ， 此 时 我 必需 要 给 他 一 把 密 


钥 ， 并 且 设 定 我 的 named.conf 让 centos.vbird 这 个 zone 能 够 接受 来 自 客 户 端的 数据 更 新 才 
行 ! 首先 来 建立 这 把 密 钥 吧 | 


[root@www ~]# dnssec-keygen -a [算法 ] -b [密码 长 度 ] -n [类 型 ] 名 称 

选项 与 参数 : 

-a :后 面 接 的 [type] 为 演算 方式 的 意思 ， 主 要 有 RSAMD5， RSA，DSA， DH 
与 HMAC-MD5 等 。 建 议 你 可 以 使 用 常见 的 HMAC-MD5 来 演算 密码 ; 

-b :你 的 密码 长 度 为 多 少 ? 通常 给 予 512 位 的 HMAC-MD5 ; 

-n :后面 接 的 则 是 客户 端 能 够 更 新 的 类 型 ， 主 要 有 底下 两 种 ， 建 议 给 HOST 即 可 : 
ZONE : 客户 端 可 以 更 新 任何 标志 及 整个 ZONE ; 
HOST : 客户 端 仅 可 以 针对 他 的 主机 名 来 更 新 。 


[root@www ~]# cd /etc/named 

[root@www named]# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST web 
Kweb .+157+36124 

[root@www named]# ls -1 

-rw------- . 1 root root 112 Aug 5 15:22 Kweb.+157+36124.Kkey 
-rw------- . 1 root root 229 Aug 5 15:22 Kweb.+157+36124.private 
# 上 面 那 把 是 公 钥 ， 下 面 那 把 则 是 私 钥 档 案 ! 


[root@www named]# cat Kweb.+157+36124.key  &Lt;== 看 一 下 公 铀 ! 
web. IN KEY 512 3 157 xZmUo80z6G8f20Sg/cqH8Bqxk59Ho8... .3s9IjUxpFB4Q== 
# 注意 到 最 右边 的 那个 密码 长 度 ， 等 一 下 我 们 要 复制 的 仅 有 那个 地 方 ! 


接 下 来 你 必需 要 : 将 公 钥 的 密码 复制 到 /etc/named.conf 当中 ， 将 私 钥 传 给 你 的 
web.centos.vbird 那 部 主机 上 ! 好 了 ， 那 就 开始 来 修改 named.conf 内 的 相关 设 定 吧 ! 


[root@www ~]# vim /etc/named.conf 
// 先 在 任意 地 方 加 入 这 个 Key 的 相关 密码 信息 ! 
key "web" { 
algorithm hmac-md5; 
secret "xZmUo80z68f20Sg/cqH8Bqxk59H08... .3s9IjUxpFB4Q=="， 


}; 


// 然后 将 你 原本 的 zone 加 入 底下 这 一 段 宣示 

Zone "centos.vbird" IN { 
type master; 
file "named.centos.vbird"; 
allow-transfer { 192.168.100.10; }; 
update-policy { 

grant web name web.centos.vbird,. A; 

}; 


}; 


[root@www ~]# chmod g+w /var/named 

[root@www ~]# chown named /var/named/named.centos.vbird 
[root@www ~]# /etc/init.d/named restart 

[root@www ~]# setsebool -P named write master_zones=1 





注意 到 上 头 的 grant web name web.centos.vbird. A; 那 一 行 ，grant 后 面 接 的 就 是 key 的 名 
称 ， 也 就 是 说 ， 我 这 把 Web 的 key 在 这 个 zone (centos.vbird) 里 面 可 以 修改 主机 名 
web.centos.vbird 的 A 的 标志 ， 亦 即 是 修改 主机 的 IP 对 应 啦 ! 语法 也 就 是 : grant 
[key_name] name [hostname] 标签 也 就 是 说 ， 我 的 一 把 key 其 实 可 以 给 予 多 种 权限 喔 ! 就 看 
你 如 何 规范 了 。 


设 定 好 之 后 ， 由 于 未 来 客户 端 传 来 的 信息 是 由 我 们 主机 的 named 所 写 入 ， 写 入 的 目录 在 
/var/named/ 当中 ， 所 以 你 必需 要 修改 一 下 权限 喔 ! 给 他 重新 启动 DNS， 然 后 观察 一 下 
/varlog/messages 里 面 有 没有 错误 即 可 | 如 此 一 来 ，DDNS 主机 端 就 设 定 妥当 哆 ! 


e 2. Client 端的 更 新 : 


接 下 来 则 是 DDNS Client 端的 更 新 了 。 首 先 ， 你 必须 要 由 Server 端 取得 刚刚 建立 的 那 两 个 档 
案 ， 请 将 刚刚 建立 的 Kweb.+157+36124.key 及 Kweb.+157+36124.private 利用 SSH 的 sftp 
传送 到 客户 端 ， 亦 即 是 那 部 Web.centos.vbird 主机 上 头 ， 假 设 你 已 经 将 这 两 个 档案 放置 到 
/usr/local/ddns 里 面 去 ， 然 后 测试 看 看 : 


[root@web ~]# cd /usr/local/ddns 

[root@web ddns]# nsupdate -k Kweb.+157+36124.Kkey 

&gt; server 192.168.100.254 

&gt; update delete web.centos.vbird &1t ;== 删 除 原 有 的 
&gt; update add web.centos.vbird 600 A 192.168.100.200 &1lt;== 更 新 到 最 新 的 
&gt; send 

&gt; 最 后 在 此 按 下 [ctrl]+D 即 可 


请 注意 到 『 update add web.centos.vbird 600 A 192.168.100.200 4 这 行 ， 他 的 意义 说 的 
， 新 增 一 笔 数据 ， 世 是 600， 给 予 A 的 标签 ， 对 应 到 192.168.100.200 的 意思 ~ 至 于 
ee -k 后 面 加 的 则 gy Server 端 产 生 的 那个 key 档案 ! 


你 就 会 发 现 到 在 DNS 服务 器 端的 /varnamed/ 里 面 多 出 一 个 暂 存 档 ， 那 就 是 
named.centos.vbird.jn| 当然 ，/var/named/named.centos.vbird 就 会 随 着 客户 端的 要 求 而 更 新 
数据 喔 ! 


由 于 手动 更 新 好 像 手 麻烦 的 ， 我 们 就 让 Client 自动 更 新 吧 ! 利用 底下 这 个 Script 即 可 ! 


[root@web ~]# vim /usr/local/ddns/ddns_update.sh 
#!/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

export PATH 


# QO\. keyin your parameters 


basedir="/usr/local/ddns" # 基本 工作 目录 
keyfile="$basedir"/"Kweb.+157+36124.key"  # 将 档 名 填 进 去 吧 | 

ttl1=600 # 你 可 以 指定 ttl 的 时 间 喔 1 
outif="ethO" # 对 外 的 联机 接口 ! 
hostname="web.centos .vbird" # 你 向 ISP 取得 的 那个 主机 名 啦 ! 
servername="192.168.100.254" # 就 是 你 的 ISP 啊 ! 


# Get your new IP 

newip= ~ ifconfig "$outif" &#124; grep "inet addr' &#124; \ 
awk '{print $2}' &#124; sed -e "s/addr\://". 

checkip= echo $newip &#124; grep "^[0-9]". 


if [ "$checkip" == "" ]; then 
echo "$0: The interface can't connect internet...." 
exit 1 

fi 


# create the temporal file 
tmpfile=$basedir/tmp.txt 
cd $basedir 


echo "server $servername" &gt; S$tmpfile 

echo "update delete $hostname A " &gt;&gt; $tmpfile 
echo "update add $hostname $ttl1 A $newip" &gt;&gt; $tmpfile 
echo "send" &gt;&gt; $tmpfile 


# send your IP to server 
nsupdate -k $keyfile -v $tmpfile 


你 只 要 将 上 述 的 程序 里 面 ， 特 殊 字 体 的 部 分 给 他 修改 一 下 ， 就 能 够 以 /etc/crontab 的 方式 在 你 
的 系统 内 自动 执行 了 1 这 支 程序 你 也 可 以 在 底下 的 连结 下 载 : 


e。 http://linux.vbird.org/linux_server/0350dns/ddns_update.sh 


利用 BIND 9 所 提供 的 这 个 服务 ， 我 们 只 要 具有 一 组 国定 的 IP， 并 向 ISP 申请 一 个 合法 授权 
的 domain name， 就 可 以 提供 不 论 是 固定 或 者 是 非 固定 的 IP 使 用 者 ， 一 个 合法 的 主机 名 

了 上 ! 并 且 ， 使 用 者 也 可 以 自行 透 过 nsupdate 来 修改 自己 的 IP 对 应 ! 以 让 自己 的 主机 IP 永远 
与 主机 名 保持 正确 的 对 应 ! 这 对 只 有 拨 接 制 上 网 的 用 户 来 说 ， 申 是 方便 啊 ! 


19.7 重点 回顾 


。 在 Internet 当中 ， 任 何 一 部 合法 的 主机 都 具有 独一无二 的 主机 名 ， 这 个 主机 名 包含 了 
hostname 与 domain name ， 并 称 为 Fully Qualified Domain Name (FQDN) ; 

e 为 了 克服 人 类 对 于 IP 不 易 记 忆 的 困扰 ， 而 有 名 称 解析 器 的 产生 ， 首 先是 /etc/hosts ， 而 
后 则 是 DNS 系统 的 产生 ; 

。 目前 Unix Like 的 机 器 当中 ， 都 是 以 BIND 这 个 柏 克 莱 大 学 发 展 的 软件 来 架设 DNS 服务 
器 ; 

。 DNS 是 个 协议 的 名 称 ，BIND 则 是 一 个 软件 ， 这 个 软件 提供 的 程序 为 named |! 

。 在 DNS 当中 ， 每 一 笔记 录 我 们 就 称 他 为 RR (Resource Record)。 

e。 在 DNS 系统 中 ， 正 解 为 由 hostname 找 IP ， 而 反 解 则 是 由 IP 找 hostname ， 至 于 
zone 则 是 一 个 或 者 是 部 分 网 域 的 设 定 值 ; 

。 在 bind 9 之 后 ， 预 设 的 情况 下 named 已 经 作 了 chroot 的 动作 。 

。 Slave 主机 本 身 并 没有 自行 设 定 zone file ， 其 zone file 是 由 Master 主机 传送 而 来 ， 
此 ，master 主机 必须 要 针对 slave 主机 开放 allow-transfer 的 设 定 项 目 才 行 。 

。 整个 DNS 搜寻 的 流程 当中 ， 若 找 不 到 本 身 的 数据 ， 则 会 向 root(.) 要 求 资料 ; 

。 正解 的 纪录 (record) 主 要 有 : SOA, A, MX, NS, CNAME, TXT 及 HINFO 等 ; 

e。 反 解 的 纪录 主要 有 : SOA, PTR 等 ; 

。 DNS 查询 的 指令 主要 有 : host, nslookup, dig, whois 等 等 ; 

。 在 载 入 了 named 这 个 daemon 之 后 ， 请 务必 前 往 /var/log/messages 察看 此 daemon 的 


成 功 与 否 。 


19.8 本 章 习 题 


e 为 何 要 有 DNS 系统 : 最 主要 的 功能 其 实在 于 Hostname 对 应 IP 的 查询 ， 可 以 让 我 们 人 
类 以 计算 机 主机 名 连 上 Internet ， 而 不 必 背 诵 IP 哩 ! 

e Unix Like 系统 当中 ， 主 要 使 用 那个 软件 做 为 DNS 主机 的 架设 ， 同 时 ， 他 又 是 使 用 那个 
daemon 来 启动 DNS 系统 ?在 UnixLike 系统 当中 ， 使 用 BIND 这 个 软件 做 为 DNS 的 架 
设 ， 至 于 daemon 则 是 使 用 named 这 个 daemon ! 

。 最 早 的 Internet 其 实 是 为 了 政府 人 员 可 以 连 上 网 络 以 进行 资源 的 分 享 ， 另 外 ， 则 是 电子 
邮件 的 使 用 。 而 在 早期 使 用 的 重要 档案 只 有 /etc/hosts 这 个 ， 请 教 这 个 hosts 档案 的 内 
容 含 有 什么 项 目 ? 这 个 档案 的 『 格 式 」 为 『[IP] [主机 名 ] [主机 别名 (aliase)]J ， 而 ， 这 个 
档案 里 面 放置 了 至 少 一 行 ， 也 就 是 : 127.0.0.1 localhost localhost.localdomain 另外 ， 也 
可 以 将 经 常 连接 的 主机 IP 与 HOSTNAME 的 对 应 给 他 写 进来 ! 

。 正解 档案 (forward) 反 解 档案 (reverse) 与 内 部 循环 使 用 的 档案 (loopback) 主 要 的 纪录 功能 
为 : 正解 档 在 设 定 hostname 对 应 到 IP 的 纪录 ， 主 要 的 纪录 有 A, NS, SOA, MX， 
CNAME 等 等 ; 反 解 档 主 要 设 定 IP 对 应 到 Hostname 的 纪录 ， 主 要 的 纪录 为 SOA, NS 
与 PTR 等。 内 部 循环 则 是 localhost 与 127.0.0.1 的 对 应 啦 ! 

。 在 主要 的 DNS 配置 文件 /etc/named.conf 当中 ， 有 一 个 较为 特殊 的 档案 ， 他 的 类 型 为 
hint ， 请 问 这 个 档案 的 功能 为 何 ? 这 个 档案 主要 是 由 rs.internic.net 所 下 载 下 来 的 ， 主 要 
记录 了 root (.) 这 个 zone 的 IP ! 可 以 让 我 们 的 DNS Server 在 找 不 到 数据 库 时 ， 可 以 到 
这 个 root 去 查询 数据 ! 

。 在 client 端 搜寻 HOSTNAME 对 应 到 IP 的 查询 时 ， 最 重要 的 档案 ， 以 及 该 档案 的 主要 用 
途 为 何 ? /etc/nsswitch.conf : 可 以 用 来 设 定 查 询 主 机 名 的 顺序 ! 例如 先 查 询 /etc/hosts 
再 查询 DNS 系统 ; /etc/hosts : 最 早 的 名 称 解析 器 ; /etc/resolv.conf : 这 就 是 DNS 系 
统 的 resolver (解析 器 ) 了 。 

。 一 般 来 说 ， 在 Client 端 使 用 的 查询 HOSTNAME 的 指令 大 多 使 用 什么 ?了 nslookup : 可 以 
用 来 收集 一 部 主机 的 相关 信息 ; dig : 可 以 用 来 收集 详细 的 主机 信息 ; whois : 可 以 用 来 
收集 详尽 的 DNS 主机 信息 。 host 则 较为 简单 喔 ! 


。 请 问 named 重要 的 信息 登录 在 在 那个 档案 中 ?在 /varlog/messages 当中 


19.9 参考 数据 与 延伸 阅读 


e 注 1 : 可 以 找到 的 最 顶层 领域 名 (gTLD, ccTLD) 相关 查询 网 
站 : http://www.whois365.com/twllisttld http://icannwiki.org/GTLD_and_ccTLD 

。 BIND 官方 网 站 : http://www.isc.org/products/BIND/ 

。 Study Area 学 习 网 站 : http://www .study-area.org/linux/servers/linux_dns.htm 

。 优 客 笔记 : http:Wturtle.ee.ncku.edu.tw/~tung/dns/dnsintro.html 

。 lame server 的 简易 说 明 : http://linux.cvf.net/lame_server.html 

e。 DDNS 架设 : http://www.study-area.org/tips/ddns.htm 

e Hinet 反 解 申请 单 : http://hidomain.hinet.net/top1.html 

。 合法 DNS 服务 器 设 定 的 检查 网 站 : http://www.dnsreport.com/ 

e 对 于 想 要 架设 内 外 部 不 同 DNS 查询 功能 的 朋友 来 说 ， 可 以 参考 view 这 个 参数 ， 请 参 
考 : http://www.study-area.org/tips/bind9_view.htm 

。 来 自 Red Hat 公司 的 一 份 教学 : 
http://www.redhat.com/magazine/026dec06/features/dns/?sc cid=bcm edmsept _ 007 

。 台湾 NIC 制作 的 很 棒 的 教学 : http://dns-learning.twnic.net.tw/bind/toc.html 

。 bind 的 view 应 用 : http://www.l-penguin.idv.tw/article/dns.htm 

e 管理 IP 的 单位 http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp? 
Order=inet_aton%28Startip%29 


2002/12/10 : 首次 完成 2003/03/10 : 修改 部 分 内 容 ， 并 且 新 增 LPI 相关 性 与 重点 整理 部 分 ! 
2003/09/10 : 修改 了 部 分 的 版 面 ， 并 将 slave DNS 的 错误 修订 完毕 ! 2003/10/08 : 新 增 了 
lame server 的 说 明 ， 与 解决 之 道 ! 2004/10/29 : 新 增 了 rndckey 的 说 明 与 解决 之 道 ! 
2004/10/30 : 新 增 了 Master/Slave 的 架构 设 定 2004/10/31 : 新 增 了 动态 DNS 主机 的 设 定 。 
2005/07/19 : 增加 了 SOA 内 五 个 数字 的 大 小 2006/10/17 : 将 之 前 的 昌文 章 移动 到 此 处 
2006/10/20 : 终于 一 不 容易 一 将 一 些 数 据 给 他 修订 完毕 啦 ! 2007/06/25 : 小 州 大 大 来 信 告 知 
Forwarding 与 cache-only 的 介绍 可 以 加 以 修改 。 已 经 处 理 成 为 这 样 。2011/04/26 : 将 昌 的 基 
于 CentOS 4.x 的 版 本 移动 到 此 处 2011/05/10 : 增加 了 不 少 东 西 ， 包 括 将 view 也 加 进来 ~~ 欢 
迎 大 家 参考 | 2011/08/04 : 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 2011/08/05 : 光 是 要 将 这 
一 堆 东 西 测试 完毕 就 花 好 多 时 间 ! 这 一 版 的 script 有 点 不 一 样 ， 得 要 注意 喔 ! 


息 本 “六 1; 孙 ) 记过 ,有 了 肥 久 双 加 记 秘 第 二 上山 
马 可 的 LinUuX 和 私房 及 : 服务 硅 宁 仅 局 第 三 版 
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最 近 更 新 日 期 : 2011/08/05 


我 们 最 常 讲 的 『 架 站 」 其 实 就 是 架设 一 个 Web 网 站 啦 ! 那 广 什么 是 Web 呢 ? 那 就 是 全 球 资 
讯 广播 的 意思 (World Wide Web)， 或 者 也 可 以 称 之 高 互 速 网 吧 ! 这 个 是 我 们 目前 的 人 类 最 常 


使 用 的 Internet 的 协定 之 一 啦 ! 通常 说 的 上 网 就 是 使 用 WWW 来 查询 使 用 者 所 需要 的 资讯 


喔 1 目前 在 Unix-Like 系统 中 的 WWW 伺服 器 主要 就 是 透 过 Apache 这 个 伺服 器 软体 来 达成 
的 ， 而 局 了 动 驴 网 站 ， 於 是 LAMP (Linux + Apache + MySQL + PHP) 就 这 广 产 生 啦 | 让 我 
们 赶紧 来 进入 LAMP 的 世界 吧 ! 


。 20.1 WWW 的 简 史 、 资 源 以 及 伺服 器 软体 


O 


oO 


20.1.1 WWW 的 简 史 、HTML 与 标准 制订 (W3C) 
20.1.2 WWW 伺服 器 与 淹 览 器 所 提供 的 资源 设 定 (URL) 
20.1.3 WWW 伺服 器 的 类 型 : 系统 、 平 台 、 资 料 库 与 程式 (LAMP) 


20.1.5 用 户 端 常见 的 浏览 器 


。 20.2 WWW (LAMP) 伺服 器 基本 设 定 


oO 


oO 


(©) 


oO 


20.2.1 LAMP 所 需 软 体 与 其 结构 

20.2.2 Apache 的 基本 设 定 : 伺服 器 环境 , 中 文 编码 , 目 钞 权限 (DocumentRoot， 
Directory) 

20.2.3 PHP 的 预 设 参数 修改 : PHP 资 安 设 定 , 上 传 档案 容量 

20.2.4 启动 WWW 服务 与 测试 PHP 模 组 

20.2.5 MySQL 的 基本 设 定 : 自动 与 帼 号 设 定 , 修改 /etc/my.cnf, root 密码 处 理 
20.2.6 防火 粮 设 定 与 SELinux 的 规则 放行 

20.2.7 开始 网 页 设计 及 安装 架 站 软体 ， 如 phpBB3 


。 20.3 Apache 伺服 器 的 进 阶 设 定 


0 


(©) 


oO 


0 


20.3.1 总 动用 户 的 个 人 网 站 (权限 是 重点 ) : URL 权限 与 SELinux 
20.3.2 次 动 某 个 目录 的 CGI (perl) 程式 执行 权限 

20.3.3 找 不 到 网 页 时 的 显示 讯息 通知 

20.3.4 浏览 权限 的 设 定 动作 (order limit) 

20.3.5 伺服 器 状态 说 明 网 页 

20.3.6 .htaccess 与 认证 网 丰 设 定 

20.3.7 虚 扎 主机 的 设 定 (重要 ! ) 


。 20.4 登录 档 分 析 以 及 PHP 强化 模 组 


0 


oO 


第 二 十 寻 


20.4.1 PHP 强化 模 组 (eaccelerator) 与 Apache 简易 效能 测试 
20.4.2 syslog 与 logrotate 

20.4.3 登录 档 分 析 软 体 : webalizer 

20.4.4 登录 档 分 析 软 体 : awstats 
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。 20.5 建立 违 线 加 密 网 站 (https) 及 防 砍 站 脚本 
o 20.5.1 SSL 所 需 软 体 和 与 轴 语 档案 及 预 设 的 https 
o 20.5.2 挟 有 自 拒 逮 证 的 https 
o 20.5.3 将 加 密 首 页 与 非 加密 首 页 分 六 
o 20.5.4 防 砍 站 软体 
e。 20.6 重点 回顾 
。 20.7 本 章 避 题 
。 20.8 参考 资料 与 延伸 阅读 
。 20.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=116564 
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20.1WWW 的 简 史 、 资 源 以 及 伺服 器 软体 


你 知道 网 路 高 什么 会 这 广 流 行 咽 ? 其 实 都 是 WWW 造成 的 啦 。 早 在 1993 年 左右 ， 岛 可 初次 
接触 到 网 路 ， 当 时 的 网 路 较 热 门 的 大 概 就 是 一 些 资源 下 载 的 FTP 网 站 以 及 很 多 文字 热烈 讨论 
的 BBS 站 了 。 资料 路 然 珊 富 ， 不 过 ， 总 是 觉得 少 了 点 什么 。 和 后 来 上 了 研究 所 ， 遍 了 课业 需 
要 ， 经 常 违 上 台湾 的 学 术 网 路 (TANET) 进行 一 些 学 术 资 料 的 检索 ， 当 时 大 约 是 1996 年 左 
右 。 因 高 上 网 就 是 要 找 资料 而 已 ， 所 以 就 慢 慢 的 很 少 使 用 网 路 了 。 


过 了 狼 年 后 ， 再 次 使 用 图 形 介面 的 作业 系统 ， 竞 然 发 现 只 要 点 线 个 小 按 垦 ， 就 会 有 很 多 网 路 

上 花花 缘 缘 的 文字 与 图 案 ， 有 的 网 站 甚至 提供 影音 的 特效 ， 当 时 揽 是 相当 的 证 屋 | 不过， 由 

於 图 形 影 像 的 视觉 方面 要 比 BBS 纯 文 字 的 资料 吸引 人 ， 自 然 造成 很 多 人 喜欢 流速 在 网 际 网 路 
上 ， 人 潮 多 当然 就 有 商机 ! 由 於 奇 货 可 居 ， 才 有 和 后 来 90 年 代 末 期 的 浏览 器 大 战 ， 这 个 商业 大 
战 也 造成 后 来 WWW 标准 不 被 某 些 浏览 器 所 支援 的 和 后果。 


这 些 年 由 於 搜 寻 引 擎 、 个 人 网 读 (blog)、 社 群 网 站 (例如 facebook 等 )、 智 慧 手 机 等 的 流行 ， 
又 将 网 际 网 路 推 向 另 一 个 新 境界 ! 啊 ! 要 学 的 东西 昊 是 很 多 响 ~~@ _@。 底 下 让 我 们 来 上 暴 解 暴 
解 什么 是 WWW 以 及 他 所 需要 的 伺服 器 软体 ， 还 有 一 些 浏览 器 相关 的 资讯 吧 ! 


20.1.1 WWW 的 简 史 、HTML 窒 标 准 制订 (W3C) 


网 际 网 路 (TCP/IP) 会 这 广 热 门 ， 主 要 是 80 年 代 的 email 以 及 90 年 代 之 后 的 WWW 服务 所 
造成 的 ! 尤其 是 WWW 这 个 玩意 多 。WWW 是 World Wide Web 的 缩写 ， 其 中 Web 有 广播 
网 的 意思 存在 ， 所 以 简称 局 全 球 资 讯 网 的 就 是 了 。WWW 可 以 结合 文字 、 图 形 、 影 像 以 及 世 
音 等 多 媒体 ， 状 透 过 可 以 让 滑 据 点击 的 超 违 结 (Hyperlink) 的 方式 将 资讯 以 Internet 传 亡 到 世 
界 各 处 去 。 


与 其 他 的 伺服 器 类 似 的 ， 你 要 违 结 上 WWW 网 站 时 ， 该 网 站 必需 要 提供 一 些 资料 ， 而 你 的 用 
户 端 则 必需 要 使 用 可 以 解析 这 些 资料 的 软 幅 来 处 理 ， 那 就 是 沽 览 器 啦 ! 简单 的 来 说 ， 你 可 以 
人 这样 瞧 一 瞧 WWW server/client 的 相关 性 : 





已 启动 WWW 服 务 器 软件 已 
使 用 浏览 器 上 网 ee 
县 有 可 供 便 览 的 数据 20.1-1、WWW 伺服 器 与 用 户 端 浏 览 


器 之 问 的 连 线 相关 性 
从 上 面 的 图 示 当 中 ， 我 们 大 概 可 以 得 到 一 些 观 念 : 


。 WWW 伺服 器 不 但 需要 一 个 可 让 用 户 端 浏览 的 平台 ， 偿 需要 提供 用 户 端 一 些 凌 料 才 行 ! 


e 伺服 器 所 提供 的 最 主要 资料 是 超 文件 标 敏 语言 (Hyper Text Markup Language, HTML)、 
多 媒体 档案 (图 片 、 影 像 、 芯 音 、 文 字 等 ， 都 属於 多 媒体 或 各 局 超 媒 体 )。 

。 HTML 只 是 一 些 纯 文字 资料 ， 透 过 所 谓 的 标 敏 (<tag>) 来 规范 所 要 显示 的 资料 格式 ; 

。 在 用 户 端 ， 透 过 潮 览 器 的 对 HTML 以 及 多 媒体 的 解析 ， 最 后 呈现 在 使 用 者 的 萤幕 上 。 


e HTML 的 格式 


如 上 所 提 到 的 相关 资讯 ， 我 们 知道 伺服 器 端 需要 提供 用 户 端 一 些 资 料 ， 而 这 些 资料 其 实 主 

都 以 HTML 的 格式 来 呈现 的 。 那 广 什 么 是 TL 夫人， 人 
以 使 用 任何 一 个 浏览 器 违 结 到 http://linux.vbird.org， 然 后 在 其 上 的 页 面 上 按 下 消息 右键 ， 

择 察 看 原始 码 ， 你 就 能 发 现 该 网 页 是 如 何 写成 的 了 。 


&lt; IDOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtml1i-transitional.dtd"e&gt; 
&lt;html xmlns="http://www.w3.0org/1999/xhtml" xml:lang="zh-TW" lang="zh-Tw"&gt; 
&lt;head&gt; 
.一些 此 页 面 的 资讯 解释 的 标 头 资料， 例如 title 与 整体 化 设计 等 等 ， 
&JlLt;Vhead&dgt ; 
&lt;body style="margin:0; padding:0"&dgt 
,.. .在 浏览 器 显示 的 尾 面 中 ， 实 际 放置 在 浏览 器 上 面 的 资料 则 写 於 此 .，. ， 
&lt;/body&gt; 
&lt;/htmle&gt; 


HTML 之 所 以 被 称 局 标 敏 语言 就 如 同上 面 的 表格 所 示 ， 他 是 由 很 多 <tag> 所 组 成 的 ， 除 了 
<IDOCTYPE> 的 部 分 是 在 宣告 底下 的 语法 应 该 用 第 由 版 的 HTML 解析 之 外 ，HTML 主要 是 由 
<html> </html> 所 包含 起 来 ， 而 在 其 中 又 分 高 雨 大 区 块 ， 一 个 是 与 标 头 有 关 的 <head> 
</head> 区 块 ， 包 括 该 网 页 所 使 用 的 编码 格式 与 抬头 等 等 。 另 一 部 份 则 是 <body> </body> 
所 含有 的 实际 网 页 内 容 资 料 啦 。 


HTML 不 在 本 文 的 介绍 内 ， 你 可 以 在 市 面 上 找到 很 多 相关 的 书籍 。 而 传统 的 HTML 4 实际 上 
已 经 不 足以 满足 某 些 美工 人 员 及 程式 设计 师 的 需求 ， 因 此 ， 目 前 逮 有 改善 HTML ja CSS 
绍 式 表 ， 可 以 让 很 多 程式 互相 取 用 的 XML， 逮 有 最 新 一 代 的 HTML5 等 等 ， 都 值得 参考 喔 。 


。 WWW 所 用 的 协定 及 WWW 伺服 器 简 史 -- 就 是 讲 古 时 间 


知道 了 WWW 的 server/client 架构 后 ， 再 来 我 们 要 讨论 的 是 ， 那 WWW 是 怎 广 来 的 啊 ? 伯 
纳 斯 - 李 (Tim Berners-Lee) 人 年 代 遍 了 更 有 效率 的 让 欧洲 核子 物理 实验 室 的 科学 家 可 以 
分 享 及 更 新 他 们 的 研究 成 果 ， 於是 他 发 展 出 一 个 超 文件 传输 协定 (Hyper Text Transport 
Protocol, HTTP)。 如 同 前 i 的 ， 在 这 个 协定 上 面 的 伺服 器 需要 软体 ， 而 用 户 端 则 需要 济 
览 器 来 解析 伺服 器 所 提供 的 资料 。 那 广 这 些 软 体 怎 廊 来 的 ? 


局 了 让 HTTP 这 个 协定 得 以 顺利 的 应 用 ， 大 的 在 90 年 代 初 期 由 伊利 庄 大 学 的 国家 超级 电脑 应 
用 中 心 (NCSA, http:;//www.ncsa.illinois.edu/) 开发 出 伺服 器 HTTPd (ne daemon 之 意 ) 。 
HTTPd 高 自由 软体 ， 所 以 很 快 的 领导 了 WWW 伺服 器 市 场 。 和 后 来 网 景 通讯 (Netscape) 开发 
出 更 强大 的 伺服 器 J | 户 端 淹 览 器 ， 那 就 是 大 家 曾经 熟悉 的 Netscape 这 套 软 体 啦 。 
这 套 坎 体 分 高 伺服 器 与 浏览 器 ， 其 中 沽 览 器 相对 便宜 ， pap 。 所以， 
在 伺服 器 市 场 上 主要 还是 以 HTTPd 户主 的 。 


后 来 由 认 HTTPd 这 个 伺服 器 一 直 没 有 妥善 的 发 展 ， 於 是 一 群 社 群 朋友 便 发 起 一 个 计 得 ， 这 个 
计 画 主要 在 改善 原本 的 HTTPd 伺服 器 软体 ， 他 们 称 这 个 改良 过 的 软体 启 Apache， 取 其 『 一 
个 修 修改 改 的 伺服 器 (A patch server)J 的 公关 语 ! ^^! 这 个 Apache 在 1996 年 以 后 便 成 局 
WWW 伺服 器 上 市 估 率 最 高 的 软体 了 (http://httpd.apache.org/)。 


。 浏览 器 (browser) 大 战 与 支援 的 标准 


路 然 WWW 越 来 越 重要 ， 但 相对 的 来 说 ， 用 户 端 如 果 没 有 浏览 器 的 话 那 广 他 们 当然 就 乱 法 去 
浏览 WWW 伺服 器 所 提供 的 资料 。 启 了 抢 估 浏览 器 的 市 估 座 ， 於 是 在 90 年 代 末 期 微软 将 |E 
浏览 器 内 建 在 Windows 作业 系统 内 ， 此 一 决定 也 让 当时 相当 广泛 使 用 的 Netscape 浏览 器 
(Navigator) 市 估 浴 急速 下 降 。 和 后 来 网 景 公 司 在 1998 年 左右 将 浏览 器 的 原始 码 部 分 开放 成 局 
自由 软体 ， 探 用 Mozilla 通用 授权 (MPL) 。 


Mozilla (http://www.mozilla.org/) 这 个 计 得 所 并 发 的 软体 可 不 止 浏 览 器 而 已 ， 逮 包括 邮件 处 理 
软体 及 网 页 编辑 软体 等 等 。 当然 啦 ， 其 中 最 出 名 的 就 是 浏览 器 软体 『 火 狐狸 (firefox)j 路! 
那 这 玩意 儿 与 IE 有 啥 不 同 ? 由 於 IE 是 整合 在 Windows 作业 系统 核心 内 ， 加 上 改版 的 幅度 
太 慢 ， 基 至 IE 使 用 的 HTML 标准 语法 解析 行 遍 都 是 微软 自 订 的 标准 ， 六 不 全 然 符合 网 际 网 
路 上 的 标准 规范 (W3C, http://www.w3.org/)， 尘 致 伺服 器 端 所 提供 的 资料 益 乱 法 在 所 有 的 浏览 
器 上 都 显示 出 相同 的 样式 ， 而 且 用 户 端 也 容易 受到 网 路 攻击 。 


firefox (http://moztw.org/) 的 发 展 就 标榜 小 而 美 ， 因 此 程式 相当 的 小 ， 所 以 执行 效能 上 面 非常 
的 快速 ， 此 外 ， 半 於 起 文件 的 解析 上 面 ，firefox 主要 依据 W3c 所 制订 的 标准 来 发 展 的 ， 所 以 
任何 以 w3c 的 标准 开发 的 网 站 ， 在 firefox 上 面 就 能 钓 得 到 设计 者 所 希望 的 样式 ! 目前 firefox 
已 经 针对 市 面 上 最 常见 到 的 Windows/Linux/Unix 等 作业 系统 来 进行 支援 ， 大 家 可 以 多 多 使 用 
喔 1AA 


而 局 了 加 快 javascript 的 程式 运作 ， 闪 且 加 快 潮 览 的 速度 ，Google 自己 也 推出 一 个 浏览 器 ， 
称 启 chrome 浏览 器 ， 这 个 浏览 器 就 如 google 的 搜寻 引擎 一 般 ， 强 调 的 就 是 快速 | 快速 ! 更 
快速 ! 因此 ， 如 果 你 想 要 淹 览 器 不 要 花花 缘 缘 ， 就 是 风格 简约 ， 强 调 速度 感 ， 那 广 google 的 
这 个 chrome 自由 软体 浏览 器 也 可 以 玩 玩 的 | 


由 上 面 的 介绍 我 们 可 以 稍微 归纳 一 下 : 


。 WWW 是 依据 HTTP 这 个 协定 而 来 的 ， 分 高 伺服 器 端 与 用 户 端 ; 

。 Apache 是 一 个 伺服 器 端的 软体 ， 主 要 依据 NCSA 的 HTTPd 伺服 器 发 展 而 来 ， 遍 自由 软 
体 ; 

Mozilla 是 一 个 自由 软体 的 开发 计 得 ， 其 中 firefox 浏览 器 是 相当 成 功 的 作品 。 

在 撰写 自己 的 网 页 资料 时 ， 画 量 使 用 W3C 所 发 做 的 标准 ， 这 样 在 所 有 的 浏览 器 上 面 才 能 
多 顺利 的 显示 出 你 想 要 的 样子 。 


20.1.2 WWW 伺服 器 与 浏览 器 所 提供 的 资源 设 定 (URL) 


现在 我 们 知道 WWW 伺服 器 的 重点 是 提供 一 些 资料 ， 这 些 资料 必需 要 是 用 户 端的 淹 览 器 可 以 
支援 显示 才 行 。 那 广 这 些 资料 是 什么 类 型 啊 ? 很 简单 啊 ， 当 然 大 部 分 就 是 档案 唾 。 如 此 说 
来 ， 我 们 必需 要 在 伺服 器 端 先 将 资料 档案 写 好 ， 音 且 放 置 在 某 个 特殊 的 目录 底下 ， 这 个 目录 
就 是 我 们 整个 网 站 的 首页 了 ! 一 般 来 说 ， 这 个 目 和 很 可 能 是 在 /var/www/html/ 或 者 是 
/srv/www/。 我 们 的 CentOS 预 设 在 varwww/html 喔 。 


那 广 浏 览 器 如 何 取得 这 个 目录 内 的 资料 呢 ? 你 必需 要 在 浏览 器 的 『 网 址 列 」 输入 所 需要 的 网 
址 才 行 。 这 个 网 址 就 对 应 到 WWW 伺服 器 的 某 个 档案 档 名 就 是 了 。 不 过 ， 现 今 的 浏览 器 功能 
实在 很 多 ， 他 不 只 可 以 违 上 WWW ， 逮 可 以 违 上 类 似 FTP 之 类 的 网 路 通讯 协定 。 所 以 你 得 要 
在 网 址 列 办 入 正确 的 人 网址， 这 个 网 址 包括 这 样 : 

。 < 协定 >://< 主 机 位 址 或 主机 名 称 >[:port]/< 目 钞 资 源 > 


。 网 址 列 的 意义 


[ee 


上 头 就 是 我 们 常常 臣 到 的 URL (Uniform Resource Locator) 啦 ! 以 斜 线 作 高 分 段 ， 它 可 以 
业 被 解释 : 


e 协定 : 


每 品 驻 


浏览 器 比较 常 支援 的 协定 有 http, https, ftp, telnet 等 等 ， 逮 有 类似 news, gopher 等 。 这 
个 协定 在 告知 浏览 器 『 请 你 利用 此 一 协定 连接 到 伺服 器 端 ] 的 意思 。 举 例 来 说 ， 如 果 你 
下 过 : http://ftp.ksu.edu.tw 这 表示 浏览 器 要 连结 到 网 山 科 大 的 http ( 亦 即 port 80) 的 意 
思 。 如 果 是 ftp://ftp.ksu.edu.tw 则 代表 回 结 到 ftp (port 21) 啦 ! 因 高 使 用 的 协定 不 同 ， 所 
以 当然 回应 的 资料 也 不 相同 的 。 不 过 ， 万 一 对 方 伺服 器 的 埠 口 总 动 在 非 正规 的 才 号 ， 例 
如 将 http 葡 动 在 port 81 时 ， 那 你 就 得 要 这 样 写 : http://hostname:81/。 


。 主机 位 址 或 主机 名 称 : 


就 是 伺服 器 在 网 际 网 路 所 在 的 IP 位 置 。 如 果 是 主机 名 称 的 话 ， 当 然 得 要 透 过 名 称 解 析 器 
咖 ! 一 般 来 说 ， 中 然 使 用 IP 就 能 匆 架 设 WWW 网 站 ， 不 过 建议 你 还 是 申请 一 个 好 记 又 
合法 的 主机 名 称 比 较 好 ! 


。 目录 资源 : : 


刚刚 不 是 提 到 首页 的 目录 吗 ? 在 首页 目录 下 的 相对 位 置 就 是 这 个 目录 资源 听 。 举例 来 
说 ， 岛 哥 的 网 站 www 资料 放置 在 我 主机 的 /var/www/html/ 当中 ， 所 以 说 : 


o http://linux.vbird.org --> /var/www/html/ 

o http://linux.vbird.org/linux_basic/index.php --> /var/www/html/linux_basic/index.php 
另外 ， 通 常 首 页 目录 底下 会 有 个 特殊 的 档案 名 称 ， 例 如 index.html 或 index.??3 
等 。 举 例 来 说 ， 如 果 你 直接 按 下 : http://linux.vbird.org 会 发 现 其 实 与 
http://linux.vbird.org/index.php 是 一 样 的 ! 这 是 因 遍 WWW 伺服 器 会 主动 的 以 该 目 
销 下 的 『 首 页 J 来 显示 啦 ! 


所 以 啦 ， 我 们 的 伺服 器 会 由 於 浏览 器 传 来 的 要 求 协定 不 同 而 给 予 不 一 样 的 回应 资料 。 那 你 睦 
解 到 网 址 列 的 意义 了 吗 ? 


。 WWW server/client 间 资 料 传输 的 方式 


如 果 浏 览 器 是 以 http://hostname 的 型 态 来 向 伺服 器 要 资料 时 ， 那 广 潮 览 器 与 伺服 器 端 是 如 何 
传 遍 资料 的 呢 ? 了 基本 上 有 这 禾 种 方法 : 


。 GET 就 是 浏览 器 直接 向 WWW 伺服 器 要 求 网 址 列 上 面 的 资源 ， 这 也 是 最 常见 的 。 此 外 ， 
使 用 GET 的 方式 可 以 直接 在 网 址 列 坦 入 变数 喔 。 举 例 来 说 ， 久 可 的 讨论 区 有 一 篇 提问 的 
智慧 ， 他 的 网 址 是 : 『http:/phorum.vbird.org/viewtopic.php?t=964 ， 和 发 现 那 个 ?t=96 
了 咽 ? {t 就 是 变数 ，96 就 是 这 个 释 数 的 内 容 。 如 果 你 将 问 纺 后面 的 资料 拿 掉 时 ， 瞧 瞧 会 
出 现 什么 后 果 ? 这 广 说 ， 你 可 以 明白 GET 的 处 理 了 吧 ? 


e。 POST 这 也 是 用 户 端 向 伺服 器 端 提出 的 要 求 ， 只 是 这 个 要 求 里 面 含有 比较 多 的 资料 就 是 

了 。 举例 来 说 ， 讨 论 区 壬 面 不 是 常常 有 留言 的 选项 跨 ， 如 果 你 选择 留言 的 话 不 是 会 在 淹 

览 器 冒 出 一 个 框框 攻 你 填 入 资料 喝 ! 当 按 下 传送 后， 那些 框框 内 的 资料 就 会 被 浏览 器 包 

起 来 传送 至 WWW 伺服 器 ee 
所 要 求 的 变数 ， 不 过 POST 就 不 是 使 用 网 址 列 的 功能 了 。 


。 HEAD 伺服 器 端 回应 给 Client 端的 一 些 资 料 档 头 而 已 ; 
e OPTIONS 伺服 器 端 回应 给 Client 端的 一 些 允 许 的 功能 与 方法 ; 
e DELETE 删除 某 些 资源 的 举动 。 


常见 的 是 GET 这 个 项 目 啦 ! 如 果 有 大 量 资 料 由 用 户 端 上 传 到 WWW 伺服 器 端 时 ， 才 会 使 用 
到 POST 这 个 项 目 。 你 还 是 得 需要 注意 一 下 这 些 上 举动 ， 因 高 和 后续 的 登录 档 分 析 内 容 都 是 使 用 
这 种 动作 来 分 析 的 哆 ! 


20.1.3 WWW 伺服 器 的 类 型 : 系统 、 平 台 、 资 料 库 和 与 程式 
(LAMP) 


以 目前 的 网 路 世界 来 说 ， 市 估 兴 较 高 的 WWW 伺服 器 软体 应 该 是 Apache 与 IIS 这 两 个 玩意 

儿 ，Apache 是 自由 软体 ， 可 以 在 任何 作业 系统 上 面 安 装 的 ， 至 於 上 IS 则 是 Windows 家 族 开 

过 出 来 的 ， 仅 能 在 Windows 作业 系统 上 面 安 装 和 与 执行 。 由 於 作业 系统 平台 不 一 样 ， 所 以 其 上 
安装 的 软体 当然 也 不 相同 。 底 下 就 药 我 们 来 聊 一 聊 目 前 网 站 的 一 些 特色 吧 ! 


。 仅 提 供 使 用 者 浏览 的 单 向 静 驴 网 页 


这 种 类 型 的 网 站 大 多 是 提供 『 单 向 静 驴 4 的 网 页 ， 或许 有 提供 一 些 动 意图 示 ， 但 基本 上 就 仅 
止 於 此 啦 ! 因 高 单纯 是 由 伺服 器 单 向 提供 资 i 端 ，Server 不 需要 与 Client 端 有 互动 ， 
所 以 你 可 以 到 该 网站 上 去 浏览 ， 但 是 乱 法 进行 进行 资料 的 上 传 喔 ! 目前 主要 的 免费 虚 所 主机 


多 是 这 种 类 型 。 所 以 ， 你 只 要 依照 HTML 的 语法 写 好 你 的 网 页 ， 冰 且 上 传 到 该 网 站 空间 
那 广 你 的 资料 就 可 以 让 大 家 浏览 了 | 


| 六 
By 


e 提供 使 用 者 互动 介面 的 动态 网 站 


这 种 类 型 的 网 站 可 以 让 伺服 器 与 使 用 者 互动 ， 常 见 的 例如 讨论 区 论坛 与 留言 版 ， 包 括 一 些 部 
落 格 也 都 是 属於 这 类 型 。 这 类 型 的 网 站 需要 的 技术 程度 比较 高 ， 因 局 他 是 藉 由 『 网 页 程式 话 
言 」 来 达成 与 使 用 者 互动 的 行 局 ， 常 见 的 例如 PHP 网 页 程式 语言 ， 配 合 MySQL 资料 库 系 统 
来 进行 资料 的 读 、 写 。 整 个 互动 可 以 使 用 下 图 来 说 明 : 






透 过 数据 库 接口 取 
用 户 要 求 或 上 传 数据 得 随时 更 动 的 数据 
据 网 页 程序 执行 的 结果 习 

回报 





前 庙 癸 用 类 似 PHP 
程序 与 用 户 对 谈 20.1-2、 动 驴 网 站 的 网 页 


程式 语言 与 资料 库 介 面 


这 就 是 所 谓 的 伺服 器 端 工作 任务 介面 (Server Side Include, SSD)， 因 高 不 论 你 要 求 的 资料 是 什 
广 ， 其 实 都 是 透 过 伺服 器 端 同一 支 网 页 程式 在 负责 将 资料 读 出 或 写 入 资料 库 ， 上 处理 完 蛙 后 将 
结果 传 给 用 户 端的 一 种 方式 ， 变 动 的 是 资料 库 内 的 资料 ， 网 页 程式 其 实意 没 有 任何 改变 的 。 

这 部 份 的 网 页 程式 包括 PHP ASP, Perl... 很 多 啦 ! 


另外 一 种 互动 式 的 动态 网 页 主要 是 在 用 户 端 达成 的 ! 举例 来 说 ， 我 们 可 以 透明 利 用 所 谓 的 
Java scripts 这 种 语法 ， 将 可 执行 的 程式 码 (java script) 传送 给 用 户 端 ， 用 户 端的 浏览 器 如 果 
有 提供 java script 的 功能 ， 那 广 该 程式 就 可 以 在 用 户 端的 电脑 上 面 运 作 了 “。 由 於 程式 是 在 用 
户 端 志 脑 上 执行 ， 因 此 如 果 伺服 器 端 所 疯 作 的 程式 是 恶意 的 ， 那 广 用 户 端的 电脑 就 可 能 会 中 
到 破 壤 。 这 也 是 局 哈 很 多 浏览 器 都 已 经 将 一 些 危险 的 java script 关 阅 的 原因 。 


另外 一 种 可 在 用 户 端 执行 的 就 是 flash 支书 格式 ， 在 这 种 支书 格 式 内 有 还 可 以 进行 程式 设计 ， 
因此 用 户 端 只 要 接 有 可 以 执行 flash 支书 的 软 苯 ， 那 就 可 以 利用 这 个 软体 来 达到 互动 式 的 对 
谈 。 这 些 都 算是 动态 网 站 所 提供 的 功能 喔 ! 


从 上 面 的 说 明 你 可 以 知道 动态 网 站 是 目前 比较 热门 的 ， 像 是 近 雨 年 来 如 同 雨 后 春 季 一 般 冒 出 
来 的 个 人 部 落 格 (blog) 就 是 很 经 典 的 动态 网 站 之 一 。 而 由 图 20.1-2 我 们 也 知道 要 做 成 这 样 的 
动态 网 站 你 必需 要 有 : 


。 支援 的 作业 系统 : 让 所 需要 的 软体 都 能 多 安装 执行 啊 ; 

。 可 运作 的 WWW 伺服 器 : 例如 Apache 与 1IS 等 WWW 伺服 器 平台 软体 ; 

。 网 页 程式 语言 : 包括 perl, PHP, JSP CGI ASP 等 等 都 算是 啦 |! 

。 资料 储存 之 资料 库 系 统 : 包括 MySQL, MSSQL, PostgreSQL 以 及 甲骨 文 (Oracle) 等 


A 


本“。 


。 LAMP 平台 的 说 明 


在 整个 平台 设计 上 面 ， 目 前 常见 的 有 两 大 系统 ， 一 个 是 Linux 作业 系统 上 面 ， 搭 配 Apache + 
MySQL + PHP 等 而 达成 ， 这 个 系统 被 稳 启 LAMP。 另 一 个 则 是 微软 的 1IS + MSSQL + ASP 
(.NET) 伺服 器 。 在 能 见 度 与 市 估 率 方面 ， 应 该 还 是 以 LAMP 高 主 吧 ! 在 LAMP 祷 面 除了 
Linux 之 外 ， 其 他 三 个 小 东西 就 让 我 们 来 谈 谈 先 : 


。 Apache (http:/www.apache.org) 


1995 年 以 前 就 有 很 多 的 WWW 伺服 器 软体 ， 其 中 以 HTTPd 估 有 率 较 高 。 和 后 来 HTTPd 
经 过 多 次 臭 部 的 修订 后 ， 才 在 1995 年 后 发 体 Apache (A patch server) 的 啦 ! 这 东西 就 
是 主要 提供 WWW 的 伺服 器 平台 ， 和 后 面谈 到 的 PHP 必须 要 在 这 玩意 儿 上 才能 运作 ! 


MySQL (http://www.mysql.org/) 


传统 的 档案 读 取 是 很 麻烦 的 ， 如 果 你 只 要 读 取 该 档案 当中 的 一 小 部 分 ， 系 统 还 是 会 将 整 
个 档案 读 出 来 ， 若 又 有 多 人 同时 读 取 同一 个 档案 时 ， 那 就 会 造成 效能 与 系统 上 的 问题 ， 
所 以 才 会 有 资料 库 系 统 的 推出 。 资料 库 其 实 是 一 种 特殊 格式 的 档案 ， 这 种 档案 必需 要 透 
过 特殊 介面 (资料 库 软 体 ) 来 进行 读 写 。 由 於 这 个 特殊 介面 已 经 针对 资料 的 查询 、 写 入 做 
过 最 佳 化 设计 ， 因 此 很 适合 多 人 同时 写 入 与 查询 的 工作 。 


针对 资料 库 的 语法 有 所 谓 的 SQL 标准 语法 ， 任 何 根据 这 种 资料 检索 语法 发 展 出 来 的 资料 
库 ， 就 称 启 SQL 资料 康 。 比较 知名 的 自由 软体 资料 库 系 统 有 MySQL 及 PostgreSQL ， 
其 中 MySQL 的 使 用 率 又 比较 高 一 些 。 MysQL 可 以 透 过 网 页 程式 语言 来 进行 读 写 的 工 

作 ， 因 此 很 适合 例如 讨论 区 、 论 坛 等 的 设计 ， 其 至 很 多 商业 网 站 的 重要 资料 也 是 透 过 

MySQL 这 个 资料 库 坎 体 来 存 取 的 呢 ! 


PHP (http://www.php.net/) 


按照 官方 的 说 法 来 说 ，PHP 是 一 个 工具 ， 他 可 以 被 用 来 建立 动态 网 页 ，PHP 程式 码 可 以 
直接 在 HTML 网 页 当中 嵌入， 就 像 你 在 编辑 HTML 网 页 一 样 的 简单 。 所 以 说 ，PHP 是 
一 种 『 程 式 语言 」， 这 种 程式 语言 可 以 直接 在 网 页 当中 编写 ， 不 需要 经 过 编译 即 可 进行 
程式 的 执行 。 由 论 具 有 : 自由 软体 、 跨 平台 、 容 易学 习 及 执行 效能 高 等 优点 ， 目 前 是 很 
热门 的 一 个 设计 网 页 的 吹 吹 喔 1 你 可 以 在 市 面 上 找到 很 多 相关 的 书籍 来 参考 的 。 


Tips: 事实 上 ， 如 果 光 学 会 Linux 与 架 站 ， 对 你 自己 的 就 于 力 还 是 不 金 的 ， 可 以 的 话 ， 多 学 一 
些 MySQL 的 SQL 语法 ， 以 及 类 似 PHP, JSP 等 跨 平 台 的 网 页 程式 语言 ， 对 你 的 未 来 是 很 有 
帮助 的 喔 ! 





20.1.4 https : 加 密 的 网 页 资料 (SSL) 及 第 三 方 公正 单位 


关於 HTTP 这 个 传输 协定 当中 ， 你 必需 要 知道 的 是 : 『 这 个 传输 协定 传输 资料 是 以 明 硒 传送 
的 ]， 所 以 你 的 任何 资料 封包 只 要 被 监 团 宽 取 的 话 ， 那 广 该 资料 就 等 於是 别人 的 啦 ! 那 想 一 
想 ， 你 有 过 上 线 刷 卡 的 经 验 吗 ?上线 刷卡 只 要 输入 你 信用 卡 的 卡号 与 相 关 的 截止 日 期 和 后， 就 

能 钓 进行 交易 了 。 如 果 你 的 资料 在 Internet 上 面 跑 时 是 明码 的 情况 下 ， 丨 要 命 ! 那 你 的 信用 
卡 不 就 随时 可 能 会 被 盗用 ? 


中 然 大 多 数 Internet 上 面 的 WWW 网 站 所 提供 的 资料 是 可 以 随意 浏览 的 ， 不 过 如 同上 面 提 到 
的 ， 一 些 物流 交易 网 站 的 资料 以 及 关於 你 个 人 的 重要 机 密 资 料 当 然 就 不 能 这 样 随意 传送 啦 ! 
这 个 时 候 就 有 需要 用 到 https://hostname 这 种 连 线 的 方式 啦 ! 这 种 方式 是 透 过 SSL 加 密 的 机 
制 咀 ! 


e。 Secure Socket Layer (SSL) 


还 记得 我 们 在 第 十 一 章 的 SSH 伺服 器 当中 介绍 过 他 连 线 的 机 制 吧 ? 就 是 利用 非 对 称 的 key 

pair (Public + Private kye) 来 组 成 金 给 ， 然 后 透 过 公 伍 加 密 和 后 传输 ， 传 输 到 目标 主机 和 后 再 以 

私 答 来 解密 ， 如 此 一 来 资料 在 Internet 上 面 跑 就 以 加密 的 方式 ， 想 当然 震 ， 这 些 资料 自然 就 
比较 安全 啦 ! SSL 就 是 利用 在 WWW 传输 上 面 的 加 密 方 式 之 一 啦 |! 


当 潮 览 器 端 与 WVWW 伺服 器 端 同时 支援 SSL 的 传输 协定 时 ， 在 过 线 阶 段 浏览 器 与 伺服 器 就 会 
二 ! 产生 金 给 后 就 能 匆 利 用 浏览 器 来 传送 与 接收 加 密 过 的 重要 资料 啦 ! 
达成 这 样 的 机 制 ， 你 的 WWW 伺服 器 必需 要 自动 https 这 个 I 协定 ， 而 浏览 器 则 必 
需要 在 网 址 列 输入 https:// 开头 的 网 址 ， 那 两 者 才能 多 进行 流通 与 连 纱 。 要 注意 的 是 ， 在 某 些 
很 茧 的 浏览 器 上 面 是 不 支援 SSL 的 ， 所 以 在 那些 车 的 浏览 器 Peg https 的 过 线路 ! 


。 Certificate Authorities (CA) 


想 一 想 SSL 这 个 机 制 有 什么 问题 ? 他 的 问题 就 是 : 『 那 把 Public key 是 伺服 器 产生 且 任何 人 
都 能 取得 的 ] ! 这 是 什么 问题 ? 因 启 public key 可 外 任 何人 取得 ， 若 被 钓鱼 网 站 取得 准 且 钢 

作 一 个 很 类 似 你 网 路 银行 的 网 站 ， 状 且 驹 你 输入 帐 密 ， 要 命 了 | 因 遍 你 不 知道 该 网 站 是 放 驴 

集团 自作 的 ， 以 高 https 就 是 安全 的 ， 如 此 一 来 ， 即 使 你 的 资料 有 加 密 ， 但 结果 ， 在 钓 和 急 网 

站 伺服 器 端 逮 是 能 匆 取 得 你 输入 的 帐 密 啊 ! 这 个 时 候 就 需要 第 三 方 公正 单位 来 帮忙 啦 ! 


所 谓 的 CA 就 是 一 个 公认 的 公正 单位 ， 你 可 以 自行 产生 一 把 金 答 且 揭 作出 必要 的 还 证 资料 闪 向 
CA 单位 证 册 ( 讲 到 证 册 你 就 要 知道 ... 这 东西 是 要 钱 的 意思 1 )， 那 广 当 用 户 端的 淹 览 器 在 淹 览 
时 ， 该 浏览 器 会 主动 的 向 CA 单位 确认 该 漂 证 是 否 局 合法 证 册 过 的 ， 如 果 是 的 话 ， 那 广 该 次 过 
线 才 会 建立 ， 如 果 不 是 呢 ? 那 广 浏 览 器 就 会 发 出 警告 讯息 ， 告 知 使 用 者 应 避免 建立 过 线 啊 。 
所 以 说 ， 如 此 一 来 WWW 伺服 器 不 但 有 公正 单位 的 背书 ， 使 用 者 在 建立 速 线 时 也 比较 有 保 

障 | 


更 多 关於 SSL 以 及 CA 的 介绍 ， 可 以 约略 参考 一 下 : 


。 Apache 的 SSL : http://www.modssl.org/ 
。 CA 组 织 之 一 : https://digitalid.verisign.com/server/apacheNotice.htm 


20.1.5 用 户 端 常 见 的 浏览 器 


咱们 前 面谈 到 WWW 伺服 器 是 Server/Client 的 架构 ， 而 用 户 端 使 用 的 软体 就 是 浏览 器 啊 ! 
目前 比较 知名 的 自由 软体 浏览 器 主要 有 两 款 ， 包 括 Mozilla 基金 会 管理 的 firefox (火狐 狸 ) 以 及 
Google 自行 推出 的 chrome。 至 於 市 估 率 较 高 的 还 有 windows 的 IE。 


由 於 浏览 器 可 以 连结 到 网 际 网 路 上 ， 所 以 浏览 器 也 有 可 能 被 攻击 ! 其 中 由 於 IE 直接 内 崇 至 
Windows 的 核心 当中 ， 所 以 如 果 IE 有 漏洞 时 ， 半 於 系统 的 损害 是 很 大 的 ! 因此 乱 论 如 何 ， 
请 记得 『 务 必要 随时 更 新 到 最 新 版 本 的 浏览 器 J 才 行 。 建 议 你 可 以 使 用 firefox 或 chrome 这 
些小 巧 玲 于 的 淹 览 器 啊 | 


除了 视窗 介面 的 浏览 器 软体 之 外 ， 其 实录 有 然 个 可 以 在 文字 介面 底下 进行 浏览 与 网 页 下 载 的 
程式 ， 分 别 是 : 


。 a 文字 介面 的 浏览 器 ; 
。 wget: 介面 下 使 用 来 拒 取 档案 的 指令 。 


这 约 个 指令 我 们 已 经 在 第 五 章 谈 过 了 ， 请 自行 前 往 参 考 嘱 ! 


20.2 WWW (LAMP) 伺服 器 基本 设 定 


从 前 面 的 说 明 当 中 ， 我 们 知道 在 Linux 上 面 要 达成 网 页 伺服 器 需要 Apache 这 和 套 伺 服 器 软体 

呐 | 不 过 Apache 仅 能 提供 最 基本 的 静态 网站 资料 而 已 ， 想 要 达成 动态 网 站 的 话 ， 那 广 最 好 

有 还是 需要 PHP 和 与 MySQL 的 支援 才 好 。 所 以 底下 我 们 将 会 以 LAMP 作 高 安装 与 设 定 的 介绍 ， 
加 油 吧 | SA 


20.2.1 LAMP 所 需 软 体 与 其 结构 


既然 我 们 已 经 是 Linux 作业 系统 ， 而 且 使 用 的 是 号 各 完全 相 容 於 Red Hat Enterprise Linux 的 
CentOS 版 本 ， 那 当然 只 要 利用 CentOS 本 身 提供 的 Apache, PHP MySQL 即 可 |! 不 建议 你 
> 行 利 用 tarball 安装 你 的 LAMP 伺服 器 。 因 高 自行 安装 不 但 手续 麻烦 ， 而 且 也 不 见得 比 系统 

设 的 软体 稳定 。 除非 你 有 特殊 的 需求 的 某 些 Apache 外 持 程式 需要 较 高 的 版 本 ， 或 
PHP MysQL 有 特殊 版 本 的 需求 )， 请 使 用 yum 来 进行 软体 的 安装 即 可 。 


那 广 我 们 的 LAMP 需要 哪些 东西 呢 ? 你 必需 要 知道 的 是 ，PHP 是 持 在 Apache 底下 执行 的 一 
个 模 组 ， 而 我 们 要 用 网 页 的 PHP 程式 控制 MySQL 时 ， 你 的 PHP 就 得 要 支援 MySQL 的 模 
组 才 行 ! 所 以 你 至 少 需要 底下 绕 个 软体 : 


。 httpd (提供 Apache 主 程式 ) 

。 mysql (MySQL 客户 端 程式 ) 

。 mysql-server (MySQL 伺服 器 程式 ) 

。 php (PHP 主 程式 含 给 apache 使 用 的 模 组 ) 

。 php-devel (PHP 的 发 展 工具 ， 这 个 与 PHP 外 霸 的 加 速 软体 有 关 ) 
。 php-mysql (提供 给 PHP 程式 读 取 MySQL 资料 库 的 模 组 ) 


要 注意 ，Apache 目前 有 狼 种 主要 版 本 ， 包 括 2.0.X, 2.2.X 以 及 2.3.X 等 等 ， 至 於 CentOS 6.x 
则 是 提供 ade 2.2.x 这 个 版 本 啦 。 如 果 你 没有 安装 的 话 ， 请 直接 使 用 yum 或 者 是 原本 光碟 


# 安装 必要 的 LAMP 软体 : php-devel 可 以 先 忽 略 ~ 
人 ~]# yum install httpd mysql mysql-server php php-mysql 


先 来 螃 解 一 下 Apache 2.2.x 这 个 版 本 的 相关 结构 ， 这 样 才能 多 知道 如 何 处 理 我 们 的 网 页 资料 
啊 | 


。 /etc/httpd/conf/httpd.conf (主要 设 定 档 ) httpd 最 主要 的 设 定 档 ， 其 实 整 个 Apache 也 不 过 
就 是 这 个 设 定 档 啦 ! 和 里 面 真 是 包 山 包 海 啊 ! 不 过 很 多 distribution 都 将 这 个 档案 拆 
成 数 个 小 档案 分 别管 理 不 同 的 参数 。 但 是 主要 设 定 档 逮 是 以 这 个 档 名 户主 的 ! 你 只 要 找 
到 这 个 档 名 就 知道 如 何 设 定 啦 1 


。 /etc/httpd/conf.d/*.conf (很 多 的 额外 参数 档 ， 副 档 名 是 .conf) 如 果 你 不 想 要 修改 原始 设 定 
档 httpd.conf 的 疾 ， 那 广 可 以 将 你 自己 的 额外 参数 档 独 立 出 来 ， 例 如 你 想 要 有 自己 的 领 
外 设 定 值 ， 可 以 将 他 写 入 /etc/httpd/conf.d/vbird.conf (注意 ， 副 档 名 一 定 是 .conf 才 行 ) 而 
启动 Apache 时 ， 这 个 档案 就 会 被 读 入 主要 设 定 档 当 中 了 | 这 有 什么 好 处 ? 好 处 就 是 当 
你 系统 升级 的 时 候 ， 你 多 乎 不 需要 更 动 原 本 的 设 定 档 ， 只 要 将 你 自己 的 额外 参数 档 补 摧 
到 正确 的 地 点 即 可 | 维 访 更 方便 啦 | 


。 /usr/lib64/httpd/modules/, /etc/httpd/modules/ Apache 支援 很 多 的 外 持 模 组 ， 例 如 php 
以 及 ss| 都 是 apache 外 持 的 一 种 喔 ! 所 有 你 想 要 使 用 的 模 组 档案 预 设 是 放置 在 这 个 目录 
当中 的 |! 

。 /var/www/html/ 这 就 是 我 们 CentOS 预 设 的 apache 『 首 页 1 所 在 目 钞 啦 ! 当 你 输入 

Fhitp://localhostJ 时 所 显示 的 资料 ， 就 是 放 在 这 个 目录 当中 的 首页 档 ( 预 设 高 
index.html) ° 

。 /Var/www/error/ 如 果 因 启 伺 服 器 设 定 错误 ， 或 者 是 浏览 器 端 要 求 的 资料 错误 时 ， 在 浏览 
器 上 出 现 的 错误 讯息 就 以 这 个 目录 的 预 设 讯息 户主 ! 

。 /var/wwwlicons/ 这 个 目录 提供 Apache 预 设 给 予 的 一 些小 图 示 ， 你 可 以 随意 使 用 啊 ! 当 
你 输入 『http://localhost/icons/4 时 所 显示 的 资料 所 在 。 


。 /Var/www/cgi-bin/ 预 设 给 一 些 可 执行 的 CGI (网 页 程式 ) 程式 放置 的 目录 ; 当 你 输入 
Fhttp://localhost/cgi-bin/4 时 所 显示 的 资料 所 在 。 


。 /var/log/httpd/ 预 设 的 Apache 登录 档 都 放 在 这 里 ， 对 於 流量 比较 大 的 网 站 来 说 ， 这 个 目 
录 要 很 小 心 ， 因 局 以 岛 哥 网 站 的 流量 来 说 ， 一 个 星期 的 登录 档 资 料 可 以 大 到 700MBytes 
至 1GBytes 左右 ， 所 以 你 务必 要 修改 一 下 你 的 logrotate 让 登录 档 被 压缩 ， 否 则 .… 


。 /usr/sbin/apachectl 这 个 就 是 Apache 的 主要 执行 档 ， 这 个 执行 档 其 实 是 shell script 而 
已 ， 他 可 以 主动 的 侦 测 系统 上 面 的 一 些 设 定 值 ， 好 让 你 启动 Apache 时 更 简单 ! 


e /usr/sbin/httpd 呵呵 ! 这 个 才 是 主要 的 Apache 三 进位 执行 档 啦 ! 


。 /usr/bin/htpasswd (Apache 密码 保 访 ) 在 某 些 网 页 当 你 想 要 登入 时 你 需要 输入 帐号 与 密码 
对 吧 ! 那 Apache 本 身 就 提供 一 个 最 基本 的 密码 保护 方式 ， 该 密码 的 产生 就 是 透 过 这 个 
间 令 来 达成 的 ! 相关 的 设 定 方式 我 们 会 在 WWW 进 阶 设 定 当 中 说 明 的 。 


至 於 MySQL 方面 ， 你 需要 知道 的 狼人 个 重要 目录 与 档案 有 : 


。 /etc/my.cnf 这 个 是 MySQL 的 设 定 档 ， 包 括 你 想 要 进行 MySQL 资料 库 的 最 佳 化 ， 或 者 是 
针对 MySQL 进行 一 些 额 外 的 参数 指定 ， 都 可 以 在 这 个 档案 和 里 面 达 成 的 |! 


。 /varlib/mysql 这 个 目录 则 是 MySQL 资料 库 档 案 放置 的 所 在 处 啦 ! 当 你 有 自动 任何 
MySQL 的 服务 时 ， 请 务必 记得 在 备份 时 ， 这 个 目录 也 要 完整 的 备份 下 求 才 行 啊 ! 


另外 ， 在 PHP 方面 呢 ， 你 应 该 也 要 知道 效 个 档案 哩 : 


。 /etc/httpd/conf.d/php.conf 那 你 要 不 要 手动 将 该 模 组 写 入 httpd.conf 当中 ?不 需要 的 ， 
局 系统 主动 将 PHP 设 定 参 数 写 入 这 个 档案 中 了 上 ! 而 这 个 档案 会 在 Apache 重新 眉 动 时 被 
读 入 ， 所 以 OK 的 啦 ! 


。 /etc/php.ini 就 是 PHP 的 主要 设 定 档 ， 包 括 你 的 PHP 能 不 能 允许 使 用 者 上 传 档案 ? 能 不 
能 允许 某 些 低 安 全 性 的 标 读 等 等 ， 都 在 这 个 设 定 档 当中 设 定 的 啦 ! 


。 /usrlib64/httpd/modules/libphp5.so PHP 这 个 软体 提供 给 Apache 使 用 的 模 组 ! 这 也 是 
我 们 能 否 在 Apache 网 页 上 面 设计 PHP 程式 语言 的 最 重要 的 吹 吹 1 务必 要 存在 才 行 ! 


。 /etc/php.d/mysql.ini, /usr/lib64/php/modules/mysql.so 你 的 PHP 是 否 可 以 支援 MySQL 
介面 呢 ? 就 看 这 雨 个 东西 啦 ! 这 十 个 吹 吹 是 由 php-mysql 软体 提供 的 呢 ! 


。 /usr/bin/phpize, /usr/include/php/ 如 果 你 未 来 想 要 安装 类 似 PHP 加 速 器 以 让 浏览 速度 加 
快 的 话 ， 那 广 这 个 档案 与 目录 就 得 要 存在 ， 否 则 加 速 器 软体 可 乱 法 编译 成 功 喔 |! 这 两 个 
资料 也 是 php-devel 软体 所 提供 的 啦 ! 


基本 上 我 们 所 需要 的 效 个 软体 他 的 结构 就 是 这 样 啦 ! 上 面 提 到 的 是 Red Hat 系统 (RHEL， 
CentOS, FC) 所 需 的 资料 ， 如 果 是 SuSE 或 其 他 版 本 的 资料 ， 请 依照 你 的 distribution 管理 软 
体 的 指令 (rpm 或 dpkg) 去 查询 一 下 ， 应 该 就 能 统 知 道 各 个 重要 资料 放置 在 哪里 啦 ! 这 些 资 
料 很 重要 ， 你 必需 要 对 放置 的 地 点 有 点 概念 才 行 曙 ! 


20.2.2 Apache 的 基本 设 定 


在 开始 设 定 Apache 之 前 ， 你 要 知道 由 於 主机 名 称 对 於 WWW 是 有 意义 的 ， 所 以 路 然 利 用 IP 
也 能 架设 WWW 伺服 器 ， 不 过 建议 你 还是 申请 一 个 合法 的 主机 名 称 比 较 好 。 如 果 是 新 时 测 
试用 的 主机 所 以 没有 主机 名 称 时 ， 那 庆 至 少 确定 测试 用 主机 名 称 高 localhost 且 在 你 的 
/etc/hosts 内 需要 有 一 行 : 


[root@www ~]# vim /etc/hosts 
127.0.0.1 lJocalhost.localdomain localhost 


这 样 在 启动 你 的 Apache 时 才 不 会 发 生 找 不 到 完整 主机 名 称 (FQDN) 的 错误 讯息 。 此 外 ， 
Apache 只 是 个 伺服 器 平台 而 已 ， 你 逮 需 要 睦 解 HTML 以 及 相关 的 网 页 设计 语法 ， 如 此 才能 
过 富 你 的 网 站 。 半 於 想 要 设计 网 页 的 朋友 来 说 ， 认 用 软体 或 许 是 很 好 入 门 ， 不 过 想 要 完整 的 
睦 解 网 站 设计 的 技巧 ， 逮 是 研究 一 下 基 砚 的 HTML 或 CSS 比较 受 当 。 


如 果 你 真 的 对 於 一 些 基 础 语法 有 内 趣 ， 闪 且 也 想 要 开发 一 些 所 谓 的 『 扰 障 寿 网 页 空间 的 
话 ， 那 广 可 以 造 荔 一 下 http://www.w3c.org 所 列 罕 的 标准 语法 ， 或 者 是 行政 院 的 扰 障 三 网 页 
空间 申请 规范 (http://www.webguide.nat.gov.tw) 相信 会 有 所 收 黎 的 啦 ! 


终 於 要 来 谈 一 谈 如 何 设 定 Apache 这 个 httpd.conf 设 定 档 了 ! 再 次 强调 ， 每 个 distribution 的 
这 个 档案 内 容 都 不 很 相同 ， 所 以 你 必需 要 自行 找 出 相关 的 设 定 档 才 行 喔 ! 那 广 这 个 httpd.conf 
的 设 定 高 何 呢 ? 他 的 基本 设 定格 式 是 这 样 的 : 


&1lt; 设 定 项 目 &gt ; 
此 设 定 项 目 内 的 相关 参数 


&1lLt;/ 设 定 项 目 &gt 


举例 来 说 ， 如 果 你 想 要 针对 我 们 的 首页 /Var/www/html/ 这 个 目 俏 提供 一 些 额外 的 功能 ， 那 


&lt;Directory "/var/www/html"&gt; 
Options Indexes 


&lt;/Directory&gt; 


做 乎 都 是 这 样 的 设 定 方式 喔 ! 特别 留意 的 是 ， 如 果 你 有 额外 的 设 定时 ， 不 能 随便 在 httpd.conf 
和 里 头 找 地 方 写 入 | 否则 如 果 刚 好 高 在 <Directory>...</Directory> 祷 面 ， 呼 呼 | 那 广 就 会 发 生 
错误 啦 ! 需要 前 前 和 后 后 的 找 一 找 喔 ! 或 者 是 在 档案 的 最 和 后面 加 入 也 行 ! 好 啦 ， 底 下 咱们 先 来 
聊 一 聊 Apache 伺服 器 的 基础 设 定 吧 | 


Tips: 事实 上 在 Apache 的 网 页 有 提供 很 多 详细 的 文件 资料 ， 盟 的 是 很 详细 啦 | 岛 哥 在 底下 仅 
是 介绍 一 些 惯用 的 设 定 项 目的 意义 而 已 。 有 兴趣 的 话 ， 请 务必 要 前 往 查 阅 : Apache 2.2 核心 
文件 : http://httpd.apache.org/docs/2.2/mod/core.html 


。 针对 伺服 器 环境 的 设 定 项 目 


Apache 针对 伺服 器 环境 的 设 定 项 目 方面 ， 包括 回 底 给 用 户 端的 伺服 器 软体 版 本 、 主 机 名 称 、 
伺服 器 设 定 档 顶 属 目录 等 。 底下 咱们 就 来 谈 一 谈 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

ServerTokens 0S 

# 这 个 项 目 在 仅 告 知 用 户 端 我 们 伺服 器 的 版 本 与 作业 系统 而 已 ， 不 需要 更 动 他 。 

# 如 果 不 在 乎 你 系统 的 资讯 被 带 端 的 用 户 查询 到 ， 则 可 以 将 这 个 项 目 广 解 掉 即 可 (不 建议 ) 


ServerRoot "/etc/httpd" 
# 伺服 器 设 定 的 最 顶 属 目录 ， 有 点 类 似 chroot 那 种 感 党 。 包 括 1ogs，modules 
# 等 等 的 资料 都 应 该 要 放置 到 此 目录 底下 (&1lt;Uu&gt; 若 未 宣告 成 绝对 路 径 时 &1t;/u&gt;) 


PidFile run/httpd.pid 
# 放置 PID 的 档案 ， 可 方便 Apache 软体 的 管理 啦 | 只 有 相对 路 径 吧 ! 
# 考虑 ServerRoot 设 定 值 ， 所 以 档案 在 /etc/httpd/run/httpd.pid |! 


人 60 
论 接 收 或 传送 ， 当 持续 违 线 等 待 超过 60 秒 则 该 次 违 线 就 中 断 。 
2 ， 此 数值 在 300 秒 左右 即 可 ， 不 需要 修改 这 个 原始 值 啦 。 


KeepAlive On &1t ;== 最 好 将 预 设 的 0ff 改 镶 On 啦 1 

# 是 否 允 许 持续 性 的 速 线 ， 亦 即 一 个 TCP 连 线 可 以 具有 多 个 档案 资料 传送 的 要 求 。 
# 举例 来 说 ， 如 果 你 的 网页 内 含 很 多 图 档 ， 那 广 这 一 次 违 线 就 会 将 所 有 的 资料 送 完 ， 
# 而 不 必 每 个 图 档 都 需要 进行 一 次 TCP 速 比 。 预 设 启 Off 请 改 镶 On 较 佳 。 


MaxKeepAliveRequests 500 &lLt;== 可 以 将 原本 的 100 改 遍 509 或 更 高 
# 与 上 个 设 定 值 KeepAlive 有 关 ， 当 KeepAlive 设 定局 0n 时 ， 则 这 个 数值 可 决定 
# 该 次 束缚 能 金 传输 的 最 大 传输 数量 。 局 了 增进 效能 则 可 以 改 大 一 点 1 9 代表 不 限制 。 


KeepAliveTimeout 15 

# 在 允许 KeepAlive 的 条件 下 ， 则 该 次 束缚 在 最 后 一 次 传输 后 等 待 延 运 的 秒 数 。 

# 当 超 过 上 述 秒 数 则 该 连 线 将 中 断 。 设 定 15 差不多 啦 ! 如 果 设 定 太 高 (等 待 时 间 较 长 ) ， 
# 在 较 忙 克 的 系统 上 面 将 会 有 较 多 的 rl 程序 估 用 资源 ， 可 能 有 效能 方面 的 困 援 。 


&1lt;IfModule ee c&gt;  &lLt;== 底 下 十 个 perfork，worker 与 记 居 1 ! 
StartServers &lt， -= 党 各 httpd 时 ， 唤 醒 狼 个 PID 来 处 理 服务 的 意 
MinSpareServers &1t ;== 最 小 的 预备 使 用 的 PID 数量 

MaxSpareServers 20 &lt; == 最 大 的 预展 使 用 的 PID 数量 


ServerLimit 256 ”&1t;== 伺 服 器 的 限制 
MaxClients 256 ”&1t;== 最 多 可 以 容许 多 少 个 用 户 端 同时 过 线 到 httpd 的 意思 
MaxRequestsPerChild 4000 
&lt;/IfModule&gt; 

&lt;IfModule worker.c&gt; 

StartServers 4 

MaxClients 300 

MinSpareThreads 25 

MaxSpareThreads 75 

ThreadsPerChild 25 
MaxRequestsPerChild 0 
&1lt;/IfModule&gt; 


上 面 的 prefork 及 worker 其 实 是 两 个 与 伺服 器 过 线 资源 有 关 的 设 定 项 目 。 预 设 的 项 目 对 於 一 
般 小 型 网站 来 说 已 经 很 饮用 了 ， 不 过 如 果 你 的 网 站 流量 比较 大 时 ， 或 许可 以 修订 一 下 祷 面 的 
数值 呢 ! 这 两 个 模 组 都 是 用 在 提供 使 用 者 违 线 的 资源 (process) ， 设 定 的 数量 越 大 代表 系统 会 
广 动 比较 多 的 程序 来 提供 Apache 的 服务 ， 反 应 速度 就 比较 快 。 简单 的 说 ， 这 两 个 模 组 的 功 


。 针对 模 组 的 功能 分 类 来 说 : 


worker 模 组 估 用 的 记 居 体 较 小 ， 对 於 流量 较 大 的 网 站 名 ， 是 一 个 比较 好 的 选择 。 
prefork 难 然 估 用 较 大 的 记 居 体 ， 不 过 速度 与 worker 差 大 ， 凑 且 nn 记 尾 体 使 用 
设计 较 启 优秀 ， 可 以 在 很 多 急 法 提供 debug 的 平台 上 面 进行 自我 除 错 ， 所 以 ， 预 设 的 模 
组 就 是 prefork 这 一 个 呢 ! 


。 细部 设 定 的 内 容 方 面 : (以 Prefork 局 例 ，worker 意 莎 相同 ) 


o StartServers : 代表 总 动 Apache 时 就 总 动 的 process 数量 ， 所 以 apache 会 用 到 不 
止 一 支 程序 ! 

o MinSpareServers, MaxSpareServers : 代表 最 大 与 最 小 的 备用 程序 数量 。 

o MaxClients : 最 大 的 同时 连 线 数量 ， 也 就 是 process 不 会 超过 此 一 数量 。 现 在 假设 
有 10 个 人 违 上 来 ， 加 上 前 面 的 MinSpareServer=5, MaxSpareServers=20， 则 
apache 此 时 的 程序 数 应 有 15-30 个 之 意 。 而 这 个 最 终 程 序数 不 可 超过 256 个 ( 依 上 
述 设 定 值 ) ! 

o MaxRequestsPerChild : 每 个 程序 能 钓 提 供 的 最 大 传输 次 数 要 求 。 举 例 来 说 ， 如 果 
有 个 使 用 者 速 上 伺服 器 后 (一 个 process)， 御 要 求 数 百 个 网 页 ， 当 他 的 要 求 数量 超过 
此 一 数值 ， 则 该 程序 会 被 丢 琳 ， 另 外 切换 一 个 新 程序 。 这 个 设 定 可 以 有 效 的 控 管 每 
个 process 在 系统 上 的 『 存 活 时 间 〗。 因 遍 根据 观察 所 得 ， 新 程序 的 效能 较 佳 啦 ! 


在 上 面 的 设 定 中 ， 比 较 有 趣 的 是 MaxClients 这 个 程序 模 组 的 参数 值 ， 如 同上 面 的 说 明 ， 这 个 
MaxClients 设 定 值 可 以 控制 『 同 时 连 上 WWW 伺服 器 的 绢 连 线 要 求 」 数量 ， 亦 即 想 成 最 高 即 
时 线 上 人 数 啦 。 不 过 你 要 注意 的 是 ，MaxClients 的 数量 不 是 越 高 越 好 ， 因 启 他 会 消耗 实体 记 
性 体 (与 process 有 关 嘛 )， 所 以 如 果 你 设 定 太 高 半 致 超出 实体 记 忆 体 能 匆 容 许 的 范围 ， 那 广 
效能 反而 会 降低 ( 因 局 系统 会 使 用 速度 较 慢 的 swap 啊 )， 此 外 ，MaxClients 也 在 Apache 编 
译 时 就 指定 最 大 值 了 ， 所 以 你 也 乱 法 超出 系统 最 大 值 ， 除 非 ... 你 重新 编译 Apache 啤 ! 


除非 你 的 网 站 流量 特别 大 ， 否 则 预 设 值 已 经 金 你 使 用 的 了 。 而 如 果 你 的 记 居 体 不 金 大 的 话 ， 
那 庆 MaxClients 反而 要 调 小 一 点 ， 例 如 150 ， 否 则 效能 不 佳 。 那 ，apache 到 底 是 使 用 那个 
模 组 啊 ? prefork 还 是 worker ? 事实 上 CentOS 将 这 两 个 模 组 分 别 放 到 不 同 的 执行 档 当 中 ， 


分 别 是 : 


。 /usr/sbin/httpd : 使 用 prefork 模 组 ; 
e /usr/sbin/httpd.worker : 使 用 worker 模 组 。 


那 如何 决 定 你 使 用 的 是 哪 一 支 程式 ?你 可 以 去 查阅 一 下 /etc/sysconfig/httpd ， 就 能 金 知道 系 
统 预 设 提供 prefork 模 组 ， 但 你 可 以 透 过 修改 /etc/sysconfig/httpd 来 使 用 worker 模 组 的 。 如 
果 你 很 有 好 奇 心 ， 那 广 可 以 分 别 试 著 租 动 这 十 种 模 组 啊 | 接 下 来 ， 继 续 瞧 瞧 其 他 的 伺服 器 环 

境 设 定 参数 吧 | 


Listen 80 
# 与 监 匠 介面 有 关 ， 预 设 开 放 在 所 有 的 网 路 介面 啊 ! 也 可 修改 堆 口 ， 如 8080 


LoadModule auth_ basic module modules/mod_ auth_ basic.so 
ee 
# 载 入 模 组 的 设 定 项 目 。Apache 提供 很 多 有 用 的 模 组 (就 是 外 持 ) 给 我 们 使 用 了 ! 


Include conf.d/*.conf 
# 因 局 这 一 行 ， 所 以 放置 到 /etc/httpd/conf.d/* .conf 的 设 定 都 会 被 读 入 ! 


User apache 

Group apache 

# 前 面 提 到 的 prework，worker 等 模 组 所 总 动 的 process 之 拥有 者 与 群 组 设 定 。 
# 这 个 设 定 很 重要 ， 因 高 未 来 你 提供 的 网 页 档案 能 不 能 被 浏览 都 与 这 个 身份 有 关 啊 ! 


ServerAdmin vbird@www.centos.vbird &1lt;== 改 成 你 自己 的 email 吧 
# 系统 管理 员 的 email， 当 网 站 出 现 问 题 时 ， 错 误 讯息 会 显示 的 联络 信箱 (错误 回报 )。 


ServerName www.centos.vbird &1t ;== 自 行 设 定好 自己 的 主机 名 称 较 佳 ! 
# 设 定 主机 名 称 ， 这 个 值 如 果 没 有 指定 的 话 ， 预 设 会 以 hostname 的 输出 高 依据 。 
# 千 万 记得 ， 你 境 入 的 这 个 主机 名 称 要 找 的 到 IP 喔 !(DNS 或 /etc/hosts) 
UseCanonicalName Off 


# 是 否 使 用 标准 主机 名 称 ? 如 果 你 的 主机 有 多 个 主机 名 称 ， 若 这 个 设 定局 0n， 
# 那 广 Apache 只 接受 上 头 servername 指定 的 主机 名 称 连 线 而 已 。 请 使 用 0ff。 


在 某 些 特殊 的 伺服 器 环境 中 ， 有 时 候 你 会 想 要 自动 多 个 不 同 的 Apache， 或 者 是 port 80 已 经 
被 使 用 挤 了 ， 关 致 Apache 扰 法 自动 在 预 设 的 埠 口 。 那 广 你 可 以 透 过 Listen 这 个 设 定 值 来 修 
改 埠 口 喔 ! 这 也 是 个 很 重要 的 设 定 值 。 此 外 ， 你 也 可 以 将 自己 的 额外 设 定 指定 到 
/etc/httpd/conf.d/*.conf 内 ， 尤 其 是 虚 拨 主机 很 常 使 用 这 样 的 设 定 ， 在 移 机 时 会 很 方便 的 ! 


。 针对 中 文 big5 语系 编码 的 设 定 参 数 修改 


目前 的 网 际 网 路 传输 资料 编码 多 是 以 亡国 码 (UTF-8) 高 主 ， 不 过 在 台湾 还 是 有 相当 多 的 网 站 
使 用 的 是 Big5 的 繁体 中 文 编码 啊 | 如 果 你 的 Apache 预 设 是 以 UTF-8 编码 来 传输 资料 ， 但 你 
WWW 的 资料 务 是 big5 ， 那 广 用 户 端 将 会 看 到 『 乱 码 」 ! 趴 然 可 以 透 遇 调整 浏览 器 的 编码 来 
疆 资 料 正 确 显 示 ， 不 过 总 是 觉得 很 讨 屡 。 此 时 ， 你 应 该 可 以 调整 一 下 底下 的 参数 喔 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找到 底下 这 一 行 ， 应 该 是 在 747 行 左右 
# AddDefaultCharset UTF-8 &1t;== 请 将 她 广 解 掉 |! 


这 个 设 定 值 的 意义 是 说 ， 对 伺服 器 传输 『 强 制 使 用 UTF-8 编码 J 的 讯息 给 用 户 端 浏览 器 ， 因 
此 不 论 网 页 内 容 写 什么 ， 反 正在 用 户 端 潮 览 器 都 会 预 设 使 用 菌 国 马 来 显示 的 意思 。 那 如 果 你 
的 网 页 使 用 的 是 非 菌 国 码 的 语系 编码 ， 此 时 就 会 在 淹 览 器 内 出 现 乱码 了 ! 非常 讨 屡 一 所 以 这 
祷 当然 需要 证 解 掉 。 你 必须 要 注意 的 是 ， 如 果 你 已 经 在 用 户 端 上 面 浏览 过 许多 页 面 ， 那 广 你 
修改 过 这 个 设 定 值 和 后 ， 仍 然 要 将 浏览 器 的 快 取 (cache) 清除 才 行 ! 否则 相同 页 面 仍 可 能 会 看 到 
乱码 ! 网 友 们 已 经 回报 过 很 多 次 了 ， 这 不 是 Apache 的 问题 ， 而 是 用 户 端 浏览 器 的 快 取 所 产 
生 的 啦 ! 记得 处 理 处 理 ! 


语系 编码 已 经 取消 预 设 值 ， 那 我 怎 广 知 道 我 的 网 页 语系 在 用 户 端 会 显示 的 是 哪 一 个 ? 其 实在 
网 页 祷 面 本 来 就 有 宣告 了 : 


&lt;html&gt; 

&lLt;ihead&gt 
&lt;meta http- Sn content="text/html; charset=big5" &gt; 
... (其 他 省 略 ).. 


你 应 该 要 修订 的 是 上 述 的 特殊 字体 上 处， 而 不 是 透 遇 Apache 提供 预 设 语系 才 对 ! 
。 网 页 首页 及 目录 相关 之 权限 设 定 (DocumentRoot 与 Directory) 


我 们 不 是 讲 过 CentOS 的 WWW 预 设 首页 放置 在 /var/www/html 这 个 目录 吗 ? 启 什 么 呢 ? 
高 DocumentRoot 这 个 设 定 值 的 关 傈 啦 ! 此 外 ， 由 於 Apache 允许 Internet 对 我 们 的 资料 进 
行 涧 览 ， 所 以 你 当然 必须 要 针对 可 被 潮 览 的 目录 进行 权限 的 相关 设 定 ， 那 就 是 <Directory> 
这 个 设 定 值 的 重要 特色 ! 先 疆 我 们 来 看 看 预 设 的 主 网 页 设 定 吧 ! 


[root@www ~]# vim eeteabtpd/Aconint too on 
DocumentRoot "/var/www/html" &1lt;== 可 以 改 成 你 放置 首页 的 目录 1! 
# 这 个 襄 这 定 值 规范 了 WWW 伺服 器 主 网 页 所 说 置 的 『 目 钞 」， 趴 然 设 定 值 内 容 可 以 变更 ， 
# 但 是 必须 要 特别 留意 这 个 设 定 目录 的 权限 以 及 SELinux 的 相关 规则 与 类 型 (type) ! 
&lt;Directory /&gt 
Options FollowSymLinks 
AllowOverride None 
&lt;/Directory&gt; 
# 这 个 设 定 值 是 针对 WWW 伺服 器 的 『 预 设 环境 」 而 来 的 ， 因 高 针对 『/J 的 设 定 嘛 ! 
# 建议 保留 上 述 的 预 设 值 (上 头 资 料 已 经 是 很 严格 的 限制 )， 相 关 参 数 容 后 说 明 。 
&lt;Directory "/var/www/html"&gt; &1t ; == 针对 特定 目录 的 限制 ! 底下 参数 很 重要 | 
Options Indexes FollowSymLinks  &lLt;== 建 议 拿 掉 Indexes 比较 受 当 | 
AllowOverride None 
order allow, deny 
Allow from all 
&lt;/Directory&gt; 


这 个 地 方 则 是 针对 /varwww/html 这 个 目录 来 设 定 权 限 啦 ! 就 是 咱们 首页 所 在 目录 的 权限 。 
主要 的 然 个 设 定 项 目的 意义 是 这 样 的 (这 些 设 定 值 都 很 重要 ! 要 仔细 看 喔 1 ) : 


。 Options (目录 参数 ) : 


此 设 定 值 表示 在 这 个 目录 内 能 匆 让 Apache 进行 的 动作 ， 亦 即 是 针对 apache 的 程序 的 权 
限 设 定 啦 |! 主要 的 参数 值 有 : 


o Indexes : 如 果 在 此 目录 下 找 不 到 『 首 页 档案 ( 预 设 高 index.html) 4 时， 就 显示 整个 
目录 下 的 档案 名 称 ， 至 於 『 首 页 档案 档 名 4 则 与 Directorylndex 设 定 值 有 关 。 


o FollowSymLinks : 这 是 Follow Symbolic Links 的 缩写 ， 字 面 意 教 是 让 连结 档 可 以 生 
效 的 意思 。 我 们 知道 首页 目录 在 /var/www/html， 了 既然 是 WWW 的 根 目 录 ， 理 论 上 就 
像 被 chroot 一 般 ! 一 般 来 说 被 chroot 的 程式 将 急 法 讨 开 其 目录 ， 也 就 是 说 预 设 的 
情况 下 ， 你 在 varwww/html 层 下 的 加 苇 属 只 娄 过 癌 到 非 此 目录 的 其 他 地 方 ， 则 该 速 
结 档 预 设 是 失效 的 。 但 使 用 此 设 定 即 可 让 连结 档 有 效 的 讨 并 本 目 钞 。 


o ExecCGI : 疆 此 目录 具有 执行 CGI 程式 的 权限 ， 非 常 重要 | 举例 来 说 ， 之 前 热门 的 
OpenWebMail 使 用 了 很 多 的 perl 的 程式 ， 你 要 让 OpenWebMail 可 以 执行 ， 就 得 要 
在 该 程式 所 在 目录 氛 有 ExecCGI 的 权限 才 行 喔 ! 但 请 注意 ， 不 要 让 所 有 目录 均 可 使 
用 ExecCGI ! 


o Includes : 让 一 些 Server-Side Include 程式 可 以 运作 。 建 议 可 以 加 上 去 |! 


o MultiViews : 这 玩意 狗 有 点 像 是 多 国语 言 的 支援 ， 和 与 语系 资料 (LanguagePriority) 有 
并。 最 常见 在 错误 讯息 的 回报 内 容 ， 在 同一 部 主机 中 ， 可 以 依据 用 户 端的 语系 而 给 
子 不 同 的 语言 显示 呢 ! 预 设 在 错误 回报 讯息 当中 存在 ， 你 可 以 检查 一 
/Var/www/error/ 目录 下 的 资料 呢 ! 


。 AllowOverride (允许 的 覆 写 参数 功能 ) : 


表示 是 否 允 许 额外 设 定 档 .htaccess 的 茶 些 参 数 覆 写 ? 我们 可 以 在 httpd.conf 内 设 定好 所 
有 的 权限 ， 不 过 如 此 一 来 若 使 用 者 自己 的 个 人 网 页 想 要 修改 权限 时 将 会 对 管理 员 造 成 困 
援 。 因 此 Apache 预 设 可 以 让 使 用 者 以 目 钞 底下 的 .htaccess 档案 内 履 写 <Directory> 内 
的 某 些 功能 参数 。 这 个 项 目 则 是 在 规定 .htaccess 可 以 尾 写 的 权限 类 型 有 哪些 。 常 见 的 
有 : 


o ALL : 全 部 的 权限 均 可 被 覆 帘 ; 
o AuthConfig : 仅 有 纲 页 认证 ( 帐 就 密码 ) 可 禾 写 ; 
Indexes : 仅 允 许 Indexes 方面 的 覆 写 ; 
o Limits : 允许 使 用 者 利用 Allow, Deny 与 Order 管理 可 浏览 的 权限 ; 
o None : 不 可 覆 写 ， 亦 即 让 .htaccess 档案 失效 ! 这 部 份 我 们 在 进 阶 设 定时 会 再 讲 到 
的 | 
。 Order, Allow, Deny (能 否 登 入 浏览 的 权限 ): 


O 


决定 此 目录 是 否 可 被 apache 的 PID 所 浏览 的 权限 设 定 啦 ! 能 否 被 淹 览 主要 有 十 种 判定 
的 方式 : 


o deny,allow : 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 预 设 高 allow 喔 。 

o allow,deny : 以 allow 高 优先 处 理 ， 但 没有 写 入 规则 的 则 预 设 高 deny 喔 。 所 以 在 预 
设 的 环境 中 ， 因 高 是 allow,deny 所 以 预 设 遍 deny (不 可 浏览 )， 不 过 在 下 一 行 有 个 
Allow from all，allow 优先 处 理 ， 因 此 全 部 (al) 用 户 端 书 可 浏览 啦 ! 这 部 份 我 们 会 在 
20.3.4 进 队 安全 设 定 当中 再 提 及 滴 。 


除了 和 这些 资 料 之 外 ， 跟 网 站 资料 相关 性 高 的 还 有 底下 的 绑 个 吃 吹 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
DirectoryIndex index.html index.html.var &lLt;== 首 页 『 档 案 的 档 名 4 设 定 


如 果 用 户 端 在 网 址 列 只 输入 到 目录 ， 例 如 http://localhost/ 时 ， 那 广 Apache 将 拿 出 那个 档案 
来 显示 呢 ? 就 是 拿 出 首页 档案 嘛 ! 这 个 档案 的 档 名 在 Apache 当中 预 设 是 以 index. 高 开头 
的 ， 但 Windows 则 以 default. 之 类 的 档 名 高 开头 的 。 如 果 你 想 要 让 类 似 index.pl 或 index.cgi 


也 可 以 是 首页 的 档 名 ， 那 可 以 改 成 : 
e。 Directorylndex index.html index.htm index.cgi index.pl ... 


那 如 果 上 面 的 档 名 通通 存在 的 话 ， 那 该 怎 办 ? 就 按照 顺序 啊 ! 接 在 Directorylndex 和 后 面 的 档 
名 参数 ， 越 前 面 的 越 优 先 读 取 。 那 如 果 档 名 通通 不 存在 呢 ? 就 是 说 没有 首页 时 ， 该 如 何 读 
取 ? 这 就 与 刚刚 谈 到 的 Options 祷 面 的 Indexes 有 关 喔 ! 这 样 有 没有 将 两 个 参数 串 起 来 ? 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# Alias 纲 址 列 延伸 ”实际 Linux 目 钞 
Alias /icons/ "/var/www/icons/" &1lt;== 多 作 一 个 目录 别名 (相当 类 似 捷径 ) ! 
&lt;Directory "/var/www/icons"&gt; 
Options Indexes MultiViews 
AllowOverride None 
Order allow, deny 
Allow from all 
&lt;/Directory&gt; 


这 个 Alias 很 有 趣 的 ! 是 自作 出 类 似 圳 结 档 的 东西 啦 ! 当 你 输入 http://localhost/icons 上 时， 其 

实 你 的 /varwww/html 益 没 有 icons 那个 目录 ， 不 过 由 於 Alias (别名 ) 的 并 你 ， 会 让 该 网 址 直 

接连 结 到 /var/Wwww/icons/ 下 。 这 壬 面 预 设 有 很 多 Apache 提供 的 小 图 示 喔 ! 而 因 高 设 定 了 一 
个 新 的 可 淹 览 目录 ， 所 以 你 瞧 ， 多 了 个 <Directory> 来 规定 权限 了 吧 | ^ ^ 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# ScriptAlias 网 址 列 延 伸 ”实际 Linux 目 凶 
ScriptAJlias /cgi-bin/ "/var/www/cgi-bin/" 
&lt;Directory "/var/www/cgi-bin"g&gt; 

AllowOverride None 

Options None 

Order allow, deny 

Allow from all 
&lt;/Directory&gt; 


与 上 面 的 icons 类 似 ， 不 过 这 下 逢 是 以 ScriptAlias (可 执行 脚本 的 别名 ) 高 设 定 值 ! 这 个 设 定 
值 可 以 指定 该 目录 底下 高 『 具 有 ExecCGI 4 能 力 的 目录 所 在 喔 ! 所 以 你 可 以 将 类 似 Open 
webmail 的 程式 给 他 放置 到 /var/www/cgi-bin 内 ， 就 不 必 客 外 设 定 其 他 的 目录 来 放置 你 的 CGI 
程式 喔 ! 这 样 大概 就 OK 了 啦 ! 接 下 来 准备 一 下 看 看 还 有 哪些 额外 的 设 定 档 需 要 上 处理 的 呢 ? 


20.2.3 PHP 的 预 设 参数 修改 


我 们 前 面 稍微 提 过 PHP 是 Apache 当中 的 一 个 模 组 ， 那 在 谈 了 Apache 的 httpd.conf 之 后 ， 

『 我 们 怎 广 没 有 讲 到 PHP 这 个 模 组 的 设 定 啊 ? 4 不 是 不 讲 啦 | 而 是 因 遍 目前 Apache 很 隆 明 
的 将 一 些 重 要 模 组 给 他 拆 出 来 放置 到 /etc/httpd/conf.d/*.conf 档案 中 了 ， 所 以 我 们 必须 要 到 该 
目录 下 才能 瞳 解 到 某 些 模 组 是 否 有 被 加 入 啊 ! 底下 先 来 瞧 瞧 吧 1 


[root@www ~]# cd /etc/httpd/conf.d 

[root@www conf .d]# 11 *.conf 

-rw-r--r--. 1 root root 674 Jun 25 15:30 php,conf &1t ;== 提 供 PHP 模 组 的 设 定 
-rw-r--r--. 1 root root 299 May 21 2009 welcome.conf  &1lLt;== 提 供 预 设 的 首页 获 迎 讯息 
# 如 果 你 是 按照 刚刚 岛 哥 说 的 败 个 模 组 去 安装 的 ， 那 广 这 个 目录 下 至 少 会 有 这 两 个 资料 ， 

# 一 个 是 规范 PHP 设 定 ， 一 个 则 是 规范 『 如 果 首 页 不 存在 时 的 欢迎 画面 」 喔 。 


我 们 主要 来 看 看 关於 PHP 的 设 定 档 吧 : 


[root@www conf .dj]# vim /etc/httpd/conf.d/php.conf 

&lt;IfModule prefork.c&gt; &1Lt;== 根 据 不 同 的 PID 模式 给 予 不 同 的 PHP 运作 模 组 
LoadModule php5_module modules/1Libphp5.so 

&lt;/IfModule&gt; 

&lt;IfModule worker .ce&gt; 
LoadModule php5_ module modules/libphp5-zts.so 


&lt;/IfModule&gt; 

AddHandler php5-script .php &Lt;== 所 以 副 档 名 一 定 要 是 .php 结尾 ! 
AddType text/html .php &lLt;==.php 结尾 的 档案 是 纯 文字 档 
DirectoryIndex index.php &lt;== 首 页 档 名 增加 index.php 喔 ! 


#AddType application/x-httpd-php-source .phps &lt;== 特 殊 的 用 法 ! 


CentOS 6.x 使 用 的 是 PHP 5.x 版 本 ， 这 个 版 本 依据 不 同 的 apache 使 用 记 居 体 模 式 (prefork 
或 Worker) 给 予 不 同 的 模 组 ! 此 外 ， 馈 了 规范 PHP 档案， 因此 多 了 最 后 三 行 ， 包 括 增加 副 档 
名 高 .php 的 档案 处 理 方 式 ，.php 定义 高 纯 文 字 档 ， 以 及 首页 档 名 增加 index.php 等 。 基 本 

上 ， 这 个 档案 你 不 需要 有 任何 的 修改 ， 保 留 原样 即 可 。 


e PHP 的 资 安 方面 设 定 


你 必须 要 知道 PHP 的 设 定 档 其 实 是 在 /etc/php.ini ， 这 个 档案 内 容 有 某 些 地 方 可 以 进行 一 些 
小 修改 ， 也 有 某 些 地 方 你 必须 要 特别 留意 ， 免 得 被 用 户 端 误 用 你 的 PHP 资源 。 底 下 先 介绍 一 


下 PHP 常见 的 与 资 安 方面 较 相 关 的 设 定 : 


[root@www ~]# vim /etc/php.ini 

register_globals = Off 

# 这 个 项 目 请 确定 局 0ff ( 预 设 就 是 Off)， 因 高 如 果 设 定 高 On 时 ， 
# 路 然 程式 执行 比较 不 容易 出 状况 ， 但 是 很 容易 不 小 心 就 被 攻击 。 


log_errors = On 

ignore_repeated_errors = On &]lt;== 这 个 设 定 值 调整 一 下 ( 因 预 设 启 Off) 
ignore_repeated_source = On &1lt;== 这 个 设 定 值 调整 一 下 

# 这 三 个 设 定 项 目 可 以 决定 是 否 要 将 PHP 程式 的 错误 记录 起 来 ， 

# 建议 将 重复 的 错误 资料 忽略 掉 ， 否 则 在 很 忙 太 的 系统 上 ， 

# 人 这些 错误 资料 将 可 能 造成 你 的 登录 档 暴 增 ， 遵 致 效能 不 佳 (或 当 机 ) 


display_errors = Off 

display_startup_errors = Off 

当 你 的 程式 发 生 问 题 时 ， 是 否 要 在 浏览 器 上 头 显 示 相 关 的 错误 讯息 ( 包括 部 分 程式 码 ) 
强烈 的 建议 设 定 局 0ff 。 不 过 如 果 是 尚未 开放 的 Www 伺服 器 ， 启 了 你 的 debug 
容易 ， 可 以 新 时 的 将 他 设 定局 0n ， 如 此 一 来 你 的 程式 问题 会 在 浏览 器 上 面 

直接 显示 出 来 ， 你 不 需要 进入 /var/1og/httpd/error_log 登录 当中 查阅 。 

但 程式 完成 后 ， 记 得 将 此 设 定 值 改 遍 Off 喔 ! 重要 重要 ! 
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如 果 你 想 要 提供 Apache 的 说 明文 件 给 自己 的 WWW 伺服 器 的 话 ， 可 以 安装 一 下 httpd- 
manual 这 个 软体 ， 你 就 会 发 现在 这 个 目录 当中 又 会 新 增 档案 (manual.conf) ， 而且 从 此 你 可 
以 使 用 http://localhost/manual 来 登入 Apache 的 使 用 手册 呢 ! 丨 方便 ! 有 内 趣 的 话 可 以 参考 


与 安装 底下 这 些 软 笨 喔 : 


。 httpd-manual : 提供 Apache 参考 文件 的 一 个 软体 ; 

。 mrtg : 利用 类 似 绘 图 软体 自动 产生 主机 流量 图 表 的 软体 ; 

。 mod_perl : 让 你 的 WWW 伺服 器 支援 perl 写 的 网 页 程式 (例如 webmail 程式 ) ; 
。 mod_python : 让 你 的 WWW 伺服 器 支援 python 写 的 网 页 程式 。 

。 mod ssl : 让 你 的 WWW 可 以 支援 https 这 种 加 密 过 和 后 的 传输 模式 。 


perl 与 python 是 与 PHP 类 似 的 吹 吹 ， 都 是 一 些 很 常用 在 网 页 的 程式 语言 上 例如 知名 的 
OpenWebMail (http://openwebmail.org/) 就 是 利用 perl 写成 的 。 要 让 你 的 WWW 支援 该 程式 
语言 ， 你 就 得 要 安装 这 些 东 西 啦 | (但 不 是 所 有 的 软体 都 安装 ! 请 安装 你 需要 的 即 可 ! ) 


e。 PHP 提供 的 上 传 容量 限制 


我 们 未 来 可 能 会 使 用 PHP 写成 的 软体 来 提供 用 户 上 传 / 下 载 档案 资料 ， 那 广 PHP 有 没有 限制 
档案 容量 呢 ? 答案 是 有 的 ! 那 广 容 量 限制 是 多 大 ? 预 设 是 2M 左右 。 你 可 以 修改 它 的 ， 假 设 
我 们 现在 要 限制 成 局 16MBytes 时 ， 我 们 可 以 这 样 修 让 


[root@www ~]# vim /etc/php.ini 


post_max_size = 20M &lt;== 大 约 在 729 行 左 右 

file_ uploads = On &1lt ;== 一 定 要 是 On 才 行 ( 预 设 值 ) 
upload_max_filesize = 16M &1lt;== 大 约 在 878 行 左 右 
memory_limit = 128M &1t;==PHP 可 用 记 居 朵 容量 也 能 修订 ! 


与 档案 上 传 / 下 载 容 量 较 相 关 的 就 是 这 北 个 设 定 值 一 高 啥 post_max_size 要 上 比 
upload max filesize 大 呢 ? 因 遍 档案 有 可 能 也 是 透 过 POST 的 方式 传输 到 我 们 伺服 器 上 头 ， 


此 时 你 的 档案 就 得 要 加 入 POST 资讯 内 一 因 局 POST 资讯 可 能 还 含有 其 它 的 额外 资讯 ， 所 以 
当然 要 比 档案 容量 大 才 行 ! 所 以 在 设计 这 个 设 定 档 时 ， 和 这 十 个 值得 要 特别 注意 喔 ! 


20.2.4 总 动 WWW 服务 与 测试 PHP 模 组 


OK ! 最 单纯 简易 的 WWW 伺服 器 设 定 搞定 的 差不多 了 ， 接 下 来 就 是 要 启动 啦 |! 总 动 的 方法 简 
单 到 不 行 ， 用 传统 的 方式 来 处 理 : 


[root@www ~]# /etc/init.d/httpd start &1t ; == 立刻 启 动 啦 ! 
[root@www ~]# /etc/init.d/httpd configtest  &lLt;== 测 试 设 定 档 语法 
[root@www ~]# chkconfig httpd on &1lt;== 开 机 和 膏 动 WWW 啦 ! 


另外 ， 其 实 Apache 也 自行 提供 一 支 script 可 以 让 我 们 来 简单 的 使 用 ， 那 就 是 apachectl 这 支 
程式 啦 | 这 支 程 式 的 用 法 与 /etc/init.d/httpd 化 乎 完全 一 模 一 样 哩 ! 


[root@www ~]# /usr/sbin/apachectl start &1t;== 总 动听 | 
[root@www ~]# /usr/sbin/apachectl stop  &1lt;== 关 闭 Www 啦 1! 
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一 般 建 议 你 可 以 稍微 记 一 下 apachectl 这 支 程 式 ， 因 高 很 多 认证 考试 会 考 ， 而 且 他 也 是 
Apache 预 设 提供 的 一 个 管理 指令 说 ! 好 了 ， 来 看 看 有 没有 自动 成 功 ? 


# 先 看 看 port 有 没有 阁 动 啊 |! 

[root@www ~]# netstat -tulnp &#124; grep "httpd 

Proto Recv-Q Send-Q Local Address ES Address State PID/Program name 
tcp 0 © :::80 ee LISTEN 2493/httpd 


# 再 来 看 看 登录 档 的 资讯 记录 了 什么 ! 这 个 确实 建议 瞧 一 瞧 ! 
[root@www ~]# tail /var/log/httpd/error_log 


[notice] &lt;u&gt;SELinux policy enabled; httpd running as context&]lt;/u&gt; unconfined_u 


[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) 
[notice] Digest: generating secret for digest authentication ... 
[notice] Digest: done 


[notice] &lt;u&gt;Apache/2.2.15 (Unix) DAV/2 PHP/5.3.2 configured -- resuming normal oper 


# 第 一 行 在 告知 有 使 用 SELinux( 强调 一 下 )， 最 后 一 行 代表 正常 启动 了 |! 


到 于 于 = 壮美 闫 = 





这 样 应 该 就 成 功 总 动 了 Apache 呢 ! 比较 重要 的 是 逮 有 总 动 SELinux 的 相关 说 明 ， 这 底下 我 
们 还 得 要 注意 注意 呢 ! 接 下 来 测试 看 看 能 不 能 看 到 网 页 呢 ? 首先 看 看 /varwww/html 有 没有 
?号 ?没有 ~- 没 关 全 因 局 CentOS 帮 我 们 造 了 一 个 测试 页 了 (Apache 的 welcome 模 组 

能 )， 所 以 你 还 是 在 浏览 器 上 面 输入 你 这 部 主机 的 IP 看 看 先 : 





Apache HTTP Server Test Page powered by CeniOs = Mozilla Firetox 动 本 区 | 口 | x| 


档案 四 编辑 蔬 ) 核 视 包 历史 他 书签 全) 工具 全 讲 明 十 ) 

全 宣 | 由 hpyioz168110 | < 天- 1 -cl 

Apache 2 Test Page 
powered by CentOS 








This page is used to test the proper operation of the Apache HTTP 
server after it has been installed. If you can read this page it means 
that the Apache HTTP seryer installed at this site is working 
properly 





fyouareamember ofthe fyou are the website 
general Public: administrator: 


You may now add content to the 
directory varywwwyhtol .NOte 


20.2-1、 和 总 动 Apache 之 和 后， 所 看 到 的 预 设 首页 





The factthat YDU are 5eeing 
this page indicates that the 


你 可 以 在 伺服 器 上 面 租 动 图 形 介面 来 查阅 ， 也 可 以 透 过 客户 端 志 脑 来 速 线 (假设 防火 糖 问题 
经 克服 了 )。 Pe 局 runlevel 3 的 纯 文字 介面 ， 因 此 使 用 外 部 的 用 户 端 电脑 


线 到 伺服 器 的 IP 上 ， 如 上 图 喜 面 中 的 箭头 1 处。 如 果 你 是 在 伺服 器 本 机 上 面 总 动 的 浏览 


览 器 ， 


那 直接 输入 『 http://localhost J 即 可 。 同 时 看 到 画面 中 的 箭头 2 所 指 不， 你 就 可 以 发 现 首页 
的 位 置 是 在 /Var/Iwww/html/ 底下 喔 ! 但 如 果 想 要 知道 有 没有 成 功 的 驱动 PHP 模 组 ， 那 你 最 好 


先 到 /var/www/html 目录 下 去 建立 一 个 简单 的 档案 
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向 相思 | ; 孙 ) 记 芝 ,有 了 肥 久 双 加 这 秘 第 二 由 
马 可 的 LinuX 私 房 采 :服务 绒 共 人 了 臣 属 绵 三 版 


[root@www ~]# vim /var/www/html/phpinfo.php 
&lt;?php phpinfo (); ?&gt; 


要 记 住 ，PHP 档案 的 副 档 名 一 定 要 是 .php 结尾 的 才 行 喔 ! 至 於 内 容 中 ， 那 个 『 <?php .… ?> 
」 是 谋 入 在 HTML 档案 内 的 PHP 程式 语法 ， 在 这 两 个 标签 内 的 就 是 PHP 的 程式 码 。 那 广 
phpinfo(); 就 是 PHP 程式 提供 的 一 个 函 式 库 ， 这 个 函 式 库 可 以 显示 出 你 WWW 伺服 器 内 的 相 
WO 这 个 档案 建 置 完 时 后 ， 接 下 来 你 可 
以 利用 浏览 器 去 浏览 一 下 这 个 档案 











phpinfoO - Mozilla a 





档案 四 ” 编 加 上 _ 榨 视 ( 原 史 避 _ 韦 儿 轧 工具 由 说 明 思 


OR wo2160 L100mointo sho 节 - ceo 





System Linux www.centos.vybird 2.6.32-71.29.1.elB.x86_64 #1 ShP Mon Jun 27 19:49:27 BST 2011 
X86_64 


Build Date Jun 25 2011 08:27:36 


Configure iconfigure’ ~-build=x86_64-unknown-linux-gny' ~--host=x86_64-unknown-linux-gnu' 

Command --target=x86_64-redhat-linux-gnuy' ~--program-prefiye" --preffye/iusr’ --exec-prefix=iusr' 
--hindir=iusribin' ~--shindir=iustishbin' --sysconfdir=/ete' ~-datadir=/usrishare' 
--includedir=iusriinclude’ ~-libdir=iusrilibBd' ~-libexecdir=/usrilibexec' ~-localstatedir=iyar’ 
--sharedstatedir=iyarilib' --mandir=iusrishareiman’ ~-infoditr=/ustishareiinfo' ~--cache- 
file=..iconfig.cache’ ~-with-libdir=libB4' -with-config-file-path=/ete' ~-vwith-config-file-scan- 
dir=ietciphp.d' ~--disable-debug’ --with-pic' --disable-rpath’ --withoutpear ~-vwith-bz2" ~-vwith- 
exec-dir=iusribin’ -with-freetype-dir=iusr' ~-with-png-dir=iusr’ --with-xpm-dir=musr --enable- | 了 

[ 悦 属 了 





20.2-2、 测 试 Apache 能 否 驱 动 PHP 模 组 


注意 看 网 址 的 部 分 喔 ! 因 遍 我 们 phpinfo.php 是 放置 在 首页 目录 底下 ， 因 此 整个 URL 当然 就 
成 高 上 述 箭头 1 当中 的 模样 了 。 这 个 phpinfo() 函数 输出 的 内 容 还 挺 机密 的 ， 所 以 测试 完 日 后 
请 将 这 个 档案 删除 吧 ! 从 上 头 的 书面 你 可 以 知道 PHP 模 组 的 版 本 以 及 Apache 相关 的 重要 资 
料 啦 ! 自己 仔细 瞧 瞧 吧 1 如 此 一 来 ， 你 的 Apache 与 PHP 就 OK 的 啦 ! 


那 净 一 测试 失败 怎 广 办 ? 常见 的 错误 问题 以 及 解决 之 道 可 以 参考 : 


。 网 路 问题 : 路 然 在 本 机 上 没有 问题 ， 但 不 代表 网 路 一 定 是 通 的 ! 请 确认 一 下 网 路 状态 | 
J Route table, 握 接 情况 等 等 ; 

。 设 定 档 语 法 错误 : 这 个 问题 很 常 发 生 ， 因 局 设 定 错误 ， 半 致 殷 法 将 服务 自动 成 功 。 此 时 
参考 草 幕 上 面 的 输出 资讯 外 ， 你 也 可 以 透 过 /etc/init.d/httpd configtest 测试 语法 ， 更 
佳 的 解决 方案 是 参考 /var/log/httpd/error_log 内 的 资料 ， 可 以 取得 更 详 盘 的 解决 之 道 。 

。 权限 问题 : 例如 你 刚刚 在 httpd.conf 上 面 的 User 设 定 高 apache 了 ， 但 偏偏 要 被 浏览 的 

当 案 或 目录 权限 对 apache 没有 可 读 权 限 ， 自 然 就 乱 法 让 人 家 连 线 进 去 啦 ! 

。 问题 的 解决 之 道 : 如 果 逮 是 没有 只 法 连接 上 来 你 的 Linux Apache 主机 ， 那 广 请 : 

1， 察看 /var/log/httpd/error_log 这 个 档案 吧 ! 他 应 该 可 以 告诉 你 很 多 的 资讯 喔 ! 
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2. 仔细 的 察看 一 下 你 浏览 器 上 面 显示 的 资讯 ， 这 样 才能 移 知 道 问题 出 在 哪 祷 ! 
3. 男 一 个 可 能 则 是 防火 粮 啦 ! 察看 一 下 iptables 的 讯息 ! 也 可 能 是 SELinux 的 问题 
喔 |! 


20.2.5 MySQL 的 基本 设 定 


在 LAMP 伺服 器 壬 面 ，Linux, Apache, PHP 已 经 处 理 完 果 ， 那 广 MySQL 呢 ? 所 以 ， 接 下 来 
就 是 要 处 理 这 个 资料 库 软 呆 唆 。 在 自动 MySQL 前 其 实 系 统 闪 没 有 帮 我 们 建立 任何 的 资料 
库 。 当 你 初次 总 动 MySQL 后， 系统 才 会 针对 资料 库 进 行 初始 化 的 建立 啊 。 不 相信 的 话 你 可 
以 先 看 看 /var/lib/mysql/ 这 个 目录 ， 壬 面 其 实 没 有 任何 资料 的 啦 。 


。 启动 MySQL ( 设 定 MySQL root 密码 与 新 增 MysQL 用 户 悍 号 ) 
首先 得 要 总 动 MySQL 才 行 ， 访 动 的 方法 还 是 很 简单 响 | 


[root@www ~]# /etc/init.d/mysqld start 
[root@www ~]# chkconfig mysqld on 
# 如 果 是 初次 癌 动 ， 营 幕 会 显示 一 些 讯 息 且 /var/1ib/mysql 会 建立 资料 库 。 


[root@www ~]# netstat -tulnp &#124; grep 'mysql' 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2726/mysqld 


# 底下 在 测试 看 能 否 以 手动 的 方式 违 上 MySQL 资料 库 ! 

[root@www ~]# mysql -u root 

Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 2 

Server version: 5.1.52 Source distribution 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql&gt; exit 
Bye 


MySQL 预 设 监 牙 的 堆 口 在 port 3306， 从 上 面 看 来 我 们 的 MySQL 似乎 是 启动 了 ， 不 过 刚刚 初 
始 化 的 MySQL 资料 库 管 理 员 准 没 有 任何 密码 ， 所 以 很 可 能 我 们 的 资料 库 是 会 被 使 用 者 搞 烟 掉 
的 ~ 所 以 你 最 好 对 MySQL 的 管理 员 帐 匡 设 定 一 下 密码 才 好 。 另 外， 上 面 那个 root 与 我 们 
Linux 帐号 的 root 是 完全 乱 关 的 ! 因 高 MySQL 资料 库 软 体 也 是 个 多 人 的 操作 环境 ， 在 该 软体 
内 有 个 管理 者 恰好 帐号 也 是 root 而 已 。 


那 广 如 何人 针对 MySQL 这 个 软体 内 的 root 这 个 管理 者 设 定 他 的 密码 呢 ? 你 可 以 这 样 做 : 
[root@www ~]# mysqladmin -u root password "your.password ' 
# 从 此 以 后 MySQL 的 root 帐号 就 需要 密码 了 ! 如 下 所 示 : 


[root@www ~]# mysql -u root -p 
Enter password:  &1lLt;== 你 必须 要 在 这 壬 输入 刚刚 建立 的 密码 ! 


mysql&gt; exit 


如 此 一 来 MySQL 资料 库 的 管理 方面 会 比较 安全 些 啦 |! 其 实 更 好 的 作法 是 分 别 建立 不 同 的 使 用 
者 管理 不 同 的 资料 库 。 举例 来 说 ， 如 果 你 要 给 予 vbirduser 这 个 使 用 者 一 个 MySQL 的 资料 库 
使 用 权 ， 假 设 你 要 给 他 的 资料 库 名 称 高 vbirddb， 且 密码 高 vbirdpw 时 ， 你 可 以 这 样 做 : 


[root@www ~]# mysql -u root -p 

Enter password: &lt;== 如 前 所 述 ， 你 必须 要 输入 密码 嘛 | 

mysql&gt; create database vbirddb; &]lt;== 注 意 每 个 指令 和 后面 都 要 加 上 分 号 (;) 
Query OK, 1 row affected (0.01 sec) 

mysql&gt; grant all privileges on vbirddb.* to vbirduser@localhost 
identified by 'vbirdpw' ; 

Query OK, © rows affected (0.00 sec) 


mysql&gt; show databases ; 
十 


天 十 
&#124; Database &#124 

CE + 

&#124; information_ schema &#124; 

&#124; mysql &#124; &1t;== 用 来 记录 MySQL 帐号 、 主 机 等 重要 资讯 的 主要 资料 库 ! 
&#124; test &#124; 

&#124; vbirddb &#124; &1t ;== 我 们 刚刚 建立 的 资料 库 在 此 

有 EE + 


4 rows in set (0.00 sec) 


mysql&gt; use mysql; 

mysql&gt; select * from user where user = 'vbirduser'; 

# 上 面 雨 个 指令 在 查询 系统 有 没有 vbirduser 这 个 帐号 ， 若 有 出 现 一 堆 束 西 ， 
# 那 就 是 查询 到 该 帐号 了 ! 这 样 就 建 置 妥当 唆 ! 


mysql&gt; exit 


然后 你 可 以 利用 『 mysql -u vbirduser -p 4 这 个 指令 来 当 训 登入 MySQL 试看 看 ， 嘿 嘿 ! 就 知 
道 vbirduser 这 个 使 用 者 在 MySQL 壬 面 拥有 一 个 名 称 遍 vbirddb 的 资料 库 啦 ! 其 他 更 多 的 用 
法 就 得 请 你 自行 参考 SQL 相关 的 语法 唾 ! 不 在 本 文 的 讨论 气力 啦 ! 


。 效能 调 校 /etc/my.cnf 


由 於 MySQL 这 个 资料 库 系 统 如 果 在 很 多 使 用 者 同时 违 线 时 ， 可 能 会 造成 某 些 效能 方面 的 瓶 
上 蜂 ， 因 此 ， 如 果 你 的 资料 库 真 的 好 大 好 大 ， 建 议 可 以 改 用 postgresql 这 套 软体 ， 这 套 软体 的 
使 用 与 mysq| 似乎 差 县 不 大 。 不 过 ， 我 们 还 是 提供 一 些 简单 的 方式 来 处 理 小 站 的 MySQL 效 
能 好 了 。 相 并 的 资料 岛 哥 是 参考 这 一 篇 简单 的 中 文 说 明 : 


。 http://parus1974.wordpress.com/2005/02/27/mysql 再 调整 


[root@www ~]# vim /etc/my.cnf 
[mysqld] 
default-storage-engine=innodb 
# 关於 目录 资料 与 语系 的 设 定 等 等 ; 
default-character-set = utf8 
port = 3306 
skip-locking 

# 关於 记 屋 体 的 设 定 ， 注 意 ， 记 性 体 的 简单 计算 方式 局 : 

# key_buffer + (Sort_buffer + read_buffer ) * max_connection 
# 且 总 量 不 可 高 从 实际 的 实体 记 居 和 体 量 ! 所以， 我 底下 的 资料 应 该 是 OK 的 


&1t ;== 每 个 人 的 编码 都 不 相同 ， 不 要 随意 跟 我 一 样 


# 128 + (2+2)*150 = 728MB 
key_buffer 128M 
sort_buffer_size 2M 
read_buffer_size 2M 
join_buffer_size 2M 
max_connections 150 
max_connect_errors 10 


read_rnd_buffer_size 4M 
max_allowed_packet 4M 
table_cache 1024 
myisam_sort_buffer_size 32M 
thread_cache 16 
query_cache_size 16M 
tmp_table_size 64M 


# 由 连 线 到 确定 断 线 的 时 间 
wait timeout 


， 原本 是 28800 (sec) ;的 8 小 时 ， 我 将 他 改 镶 20 分 锐 1! 


= 1200 


thread_concurrency = 8 
innodb_data_file_path = ibdatal:10M:autoextend 
innodb_buffer_pool_size = 128M 
innodb_additional_ mem_ pool_size = 
innodb_thread_concurrency = 16 


32M 


datadir=/var/lib/mysql 
socket=/var/lib/mysql/mysql.sock 
user=mysql 

symbolic-links=0 

[mysqld_safe] 
log-error=/var/log/mysqld.1og 
pid-file=/var/run/mysqld/mysqld.pid 


很 大 ! 请 依照 你 实际 拥有 的 记 翌 体 量 来 处 理 喔 ! 还 得 加 上 你 的 Apache 本 身 的 记 忙 体 用 量 ! 
所 以 ... 如 果 你 的 网 站 流量 很 大 的 话 ， 在 校 能 测试 上 面 要 很 注意 啊 ! 


。 MySQL root 密码 忘记 的 紧急 处 理 


如 果 你 不 小 心 忘记 MySQL 的 密码 怎 广 办 ? 网 路 上 有 一 些 工 具 可 以 让 你 去 处 理 MySQL 资料 库 
的 挽回 。 如 果 你 的 资料 库 内 容 准 不 是 很 重要 ， 删 除 也 盎 所 谓 的 话 (测试 中 @_@)， 那 广 可 以 
将 MySQL 关 并 后， 将 /var/lib/mysql/* 那个 目录 内 的 资料 删除 掉 ， 然 后 再 重新 总 动 MySQL 

， 那 廊 MySQL 资料 库 会 重建 ， 你 的 root 又 没有 密码 啦 ! 


不 过 ， 这 个 方法 偿 衣 合 你 的 资料 库 准 不 重要 的 时 候 ， 如 果 资 料 库 很 重要 ... 那 千 万 不 要 随便 出 除 
啊 |! 


20.2.6 防火 粮 设 定 与 SELinux 的 规则 放行 


设 定 好 了 LAMP 之 和 后， 开始 要 让 用 户 端 来 违 线 啊 | 那 广 如 何 放 行 呢 ? 要 放行 哪些 埠 口 ? 刚刚 
的 port 3306 要 不 要 放行 ? 这 壬 请 注意 ， ans 的 WVWW 网站， 事实 上 ，Apache 是 连 
接 本 机 的 MySQL， 痊 没有 开放 给 外 部 的 用 户 来 速 接 资 料 库 ! 因此 ， 请 不 要 将 3306 放行 给 网 
际 网 路 韦 接 ， 除 非 你 丨 的 知道 你 要 给 其 eee 取 你 的 MySQL 喔 ! 既然 如 此 ， 当 然 只 要 
开放 port 80 即 可 。 


此 外 ， 如 果 你 的 Apache 未 来 膛 想 要 进行 一 些 额外 的 连 线 工作 ， 那 广 SELinux 的 一 些 简单 规 
则 也 得 先 放 行 | 否 上 由 | 会 有 问题 啦 1 不 过 SELinux 的 问题 其 ti 实 都 好 解决 因 遍 可 以 参考 登录 档 
来 修订 嘛 ! 好 了 ， 让 我 们 简单 的 来 谈 谈 : 


# 1\， 放行 防 火 蒜 中 的 port 8Q 连 线 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT 

# 将 上 面 这 一 行 的 广 解 拿 掉 即 可 ! 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save &#124; grep 80 

-A PREROUTING -s 192.168.100.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 
-j REDIRECT --to-ports 3128 &1t;== 这 一 行 是 进行 squid 产生 的 ， 应 该 要 拿 掉 较 佳 

-A INPUT -i etho9 -p tcp -m tcp --sport 1024:65534 --dport 80 -j ACCEPT 

# 看 到 上 面 这 行 ， 就 是 将 防火 粮 的 放行 加 进来 了 ， 用 户 端 应 该 是 能 匆 连 线 呢 | 


# 2\， 和 解决 SELinux 的 规则 放行 问题 : 

[root@www ~]# getsebool -a &#124; grep httpd &1lt;== 会 出 现 一 堆 规则 ， 有 典 趣 的 如 下 : 
[root@www ~]# setsebool -P httpd_can_network_connect=1 

# 其 他 的 规则 或 类 型 ， 等 待 后 续 的 章节 介绍 再 来 谈 ! 


例题 : 你 想 要 修改 首页 内 容 ， 且 先 使 用 root 在 /root 底下 建立 了 Te html 了 ， 这 个 档案 将 
被 移动 到 /var/www/html 底下 ， 请 建立 该 档案 ， 状 且 放 置 成 首页 档案 ， 浏 览 看 看 。 答 : 可 以 
透 过 简单 的 方式 建立 一 个 乱 关 紧要 的 首页 档案 


[root@www ~]# echo "This is my Home page" &gt; index.html 
[root@www ~]# mv index.html /var/www/html 
[root@www ~]# 11 /var/www/html/index.html 


-rw-r--r--. 1 root root 21 2011-08-08 13:49 /var/www/html/index.html 
# 权限 看 起 来 是 OK 的 |! 


现在 请 使 用 浏览 器 浏览 一 下 http://localhost ， 就 会 发 现 扰 法 读 取 ! 高 什么 ? 请 检查 
/varlog/httpd/error log 以 及 /var/log/messages 的 内 容 : 


[root@www ~]# tail /var/log/httpd/error_log 

[error] [client 192.168.1.101] (13)Permission denied: access to /index.html denied 
[root@www ~]# tail /var/log/messages 

Aug 8 13:50:14 www setroubleshoot: SELinux Is preventing /usr/sbin/httpd "getattr" 
access to /var/www/html/index.html. For complete SELinux messages. &lt;u&gt;run sealert 
6c927892-2469-4fcc-8568-949da0b4cf8d&1t;/u&gt; 





看 到 上 面 恒 底 下 的 地 方 了 吧 ? 就 是 他 ! 执行 一 下 ， 你 就 能 发 现 如 何 处 理 唆 ! 


20.2.7 并 始 网 页 设计 及 安装 架 站 软体 ， 如 phpBB3 


基础 的 LAMP 伺服 器 架设 完 蛙 之 和 后， 基本 上 ， 你 就 可 以 开始 设计 你 想 要 的 网 站 唆 | 编写 网 页 
的 工具 很 多 ， 请 自行 寻找 吧 | 不 过 对 於 这 个 简单 的 LAMP 伺服 器 ， 你 必须 要 知道 的 是 : 


。 预 设 的 首页 目录 在 /varwww/html/， 你 应 该 将 所 有 的 WWW 资料 都 搬 到 该 目录 底下 才 
对 |! 

。 注意 你 的 资料 权限 (rwx 与 SELinux) ! 务必 要 让 Apache 的 程序 使 用 者 能 多 浏览 ! 

。 画 量 将 你 的 首页 档案 档 名 取 高 index.html 或 index.php ! 

e 如 果 首 页 想 要 建立 在 其 他 地 方 ， 你 应 该 要 修改 DocumentRoot 那个 参数 (httpd.conf) 

。 不 要 将 重要 资料 或 者 隐私 资料 放置 到 /var/www/html/ 首页 内 ! 

e 如 果 你 需要 安装 一 些 CGI 程式 的 话 ， 建 议 你 将 他 安装 到 /var/Iwww/cgi-bin/ 底下 ， 如 此 一 
来 你 不 需要 额外 设 定 httpd.conf 即 可 顺利 访 动 CGI 程式; 


除了 这 些 基 本 的 项 目 之 外 ， 其 实 你 可 以 使 用 网 际 网 路 上 面 人 家 已 经 做 好 的 PHP 程式 架 站 机 
喔 ! 壁 如 说 讨论 区 软体 phpBB3 这 个 玩意 儿 ， 完 整 的 架 站 软体 PHPNuke 以 及 部 落 格 软体 
lifetype 等 等 。 但 这 些 架 站 机 都 需要 PHP 和 恰 资 料 库 的 支援 ， 所 以 你 必需 要 将 上 述 介 绍 的 
LAMP 完整 的 安装 好 才 行 。 如 果 你 不 喜欢 自己 写 网 页 的 话 ， 那 广 这 些 有 用 的 架 站 软体 就 约 你 
瞧 的 唆 ! 岛 哥 列 出 化 个 违 结 给 你 玩 一 玩 先 ! 


e。 phpBB 讨论 区 官方 网 站 : http://www.phpbb.com/ 

。 phpBB 正 朵 中 文 网 站 『 竹 猫 星 球 」 : http:Wphpbb-tw.net 

。 岛 哥 的 简易 phpBB 安装 法 : http://linux.vbird.org/apache_packages/ 
。 Lifetype 部 落 格 架设 软体 中 文 支援 站 : http://www .lifetype.org.tw/ 

。 Lifetype 部 落 格 架设 软体 官网 : http://www.lifetype.net/ 

。 PHP-Nuke 官方 网 站 : http://phpnuke.org/ 

e。 Xoops 官方 网 站 : http://www.xoops.org/ 


注意 ， 这 些 软 体 由 於是 公开 的 ， 所 以 有 些 怪 叔 叔 可 能 会 据 以 乱用 或 乱 改 ， 因 此 可 能 会 


bug 会 出 现 ! 因此 ， 你 必需 要 取得 最 新 的 版 本 来 玩 才 行 ， 而 且 架 设 之 和 后 膛 得 要 持续 的 
和 否 有 更 新 的 版 本 出 现 ， 随时 去 更 新 到 最 新 版 本 才 行 喔 ! 免得 和 后患 乱 井 一 


20.3 Apache 伺服 器 的 进 阶 设 定 


ee On Ol esd eo do 
可 以 玩 玩 的 地 方 ， 例 如 个 人 用 户 首页 、 虚 所 主机 以 及 认证 保 访 的 网 页 等 等 。 底 下 我 们 分 别 来 
谈 一 谈 唾 | 


20.3.1 痊 支 用户 的 个 人 网 站 (权限 是 重点 ) 


每 一 部 WWW 伺服 器 都 有 一 个 首页 ， 但 是 如 果 每 个 个 人 用 户 都 想 要 有 可 以 自己 完全 控 管 的 首 
页 时 ， 那 该 如 何 设计 ? 呵呵 | Apache 早 就 帮 我 们 想到 了 ! 不 过 新 版 的 设 定 档 内 常常 是 预 设 将 
这 个 功能 取消 的 ， 所 以 你 必需 要 自行 修订 呢 ! 


鸿 
\ 
器 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找到 如 下 的 设 定 项 目 ， 大约 在 366 行 左右 : 
&lt;IfModule mod_ userdir.c&gt; 
UserDir disable 
#UserDir public_html 
&lt;/IfModule&gt; 
# 将 他 改 成 如 下 的 情况 喔 ! 
&lt;IfModule mod_userdir.c&gt,; 
#UserDir disable 
UserDir www 
&lt;/IfModule&gt; 


# 重新 自动 一 下 先 ! 
[root@www ~]# /etc/init.d/httpd restart 


这 只 是 个 范例 ，Apache 预 设 的 个 人 首页 是 放置 在 家 目录 下 的 ~/public_html/ 目录 下 ! 假如 你 
的 系统 有 个 帐号 叫做 student ， 那 广 预 设 的 属於 student 的 个 人 首页 就 会 放置 在 
/home/student/public_html/ 底下 。 不 过 ， 这 个 public_html 实在 很 诗 灰 ， 看 起 来 跟 网 页 没 
什么 特殊 关 违 性 ， 因 此 入 哥 都 会 将 这 个 目录 改 遍 www， 所 以 student 的 个 人 首页 就 会 是 在 
/home/student/www/ 目 俏 下， 比较 好 记 迟 。 


例题 : 如 何 让 未 来 所 有 『 新 增 ] 的 使 用 者 预 设 家 目录 下 都 有 个 www 的 目录 ? 答 : 因 高 新 增 
使 用 者 时 所 参考 的 家 目录 在 /etc/skel 目录 内 ， 所 以 你 可 以 直接 mkdir /etc/skel/www 即 可 。 车 
想 要 让 用 户 直 接 氛 有 一 个 简易 的 首页 ， 逮 能 钓 使 用 echo "My homepage" > 
/etc/skel/www/index.html 呢 1! 


e 个 人 首页 的 URL 以 及 目录 的 权限 、SELinux 设 定 


现在 假设 我 们 要 让 已 经 存在 系统 中 的 student 这 个 帐号 具有 个 人 首页 ， 那 就 得 要 手动 去 建 置 所 
需要 的 目录 与 档案 才 行 。 现 在 请 登入 student， 状 用 该 帐号 建 置 底下 的 相关 资讯 : 


[student@www ~]$ mkdir www 

[student@www ~]$ chmod 755 www &lt;== 针 对 www 目录 并 放权 限 
[student@www ~]$ chmod 711 ~ &1lLt;== 不 要 忘 了 家 目录 也 要 改 ! 
[student@www ~]$ cd www 

[student@www www]$ echo "Test your home" &gt;&gt; index.html 


由 於 CentOS 预 设 的 使 用 者 家 目录 权限 是 drwx------ ， 这 个 权限 将 乱 法 让 Apache 的 程序 浏览 
啊 | 所 以 你 至 少 要 让 你 的 家 目录 权限 成 启 drwx--X--X 才 行 ! 这 个 很 重要 啊 ! 那 广 未 来 只 要 你 
在 浏览 器 的 网 址 列 这 样 输入 : 


e http:// 你 的 主机 名 称 /~student/ 


『 理 论 上 J 就 能 金 看 到 你 的 个 人 首页 了 。 不 过 ， 可 惜 的 是 ， 我 们 的 SELinux 六 没有 放行 个 人 
首页 ! 所 以 ， 此 时 你 会 发 现 浏览 器 出 现 『You don't have permissionJ 的 讯息 ! 赶紧 看 一 下 你 
的 /Var/log/messages， 祷 面 应 该 会 教 你 进行 这 项 工作 : 


[root@www ~]# setsebool -P httpd_enable_homedirs=1 
[root@www ~]# restorecon -Rv /home/ 
# 第 一 个 指令 在 放行 个 人 首页 规则 ， 第 二 个 指令 在 处 理 安全 类 型 ! 


就 可 以 看 到 你 的 使 用 者 个 人 网 页 唆 ! 之 后 让 使 用 者 自己 去 设计 他 的 网 站 吧 ! 现在 你 知道 那个 
毛毛 品 (~) 在 URL 上 面 的 意义 了 吧 ? ^^ 1 不过， 多 这 个 毛毛 患 就 很 讨 情 ~~ 我 可 不 可 以 将 使 
用 者 的 个 人 网 站 设 定 成 局 : 


e http:// 你 的 主机 名 称 /student/ 
是 可 以 啦 ! 最 简单 的 方法 是 这 样 的 : 


[root@www ~]# cd /var/www/html 
[root@www html]# ln -s /home/student/www student 


由 於 我 们 首页 的 『 Options 」 内 有 FollowSymLinks 这 个 参数 的 原因 ， 所 以 可 以 直接 使 用 连结 
档 即 可 。 另外 我 们 也 可 以 使 用 Apache 提供 的 别名 功能 (Alias)， 例 如 这 样 做 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找 个 不 与 人 家 设 定 值 有 干 摄 的 地 方 加 入 这 个 设 定 项 目 : 
Alias /student/ "/home/student/www/" 
&lt;Directory "/home/student/www"&gt; 

Options FollowSymLinks 

AllowOverride None 

Order allow, deny 

Allow from all 
&lt;/Directory&gt; 


[root@www ~]# /etc/init.d/httpd restart 


不 过 ， 如 果 你 使 用 这 个 方法 的 话 得 要 特别 注意 ， 在 httpd.conf 内 的 Alias 后 面 接 的 目录 ， 需 要 
加 上 目录 符 纺 (/) 在 结尾 处 ， 同 时 ， 网 址 列 必 须要 翰 入 http://IP/student/ ! 亦 即 是 结尾 也 必须 
要 加 上 和 斜 线 才 行 ! 否则 会 显示 找 不 到 该 URL 喔 ! 


20.3.2 站 动 某 个 目录 的 CGI (perl) 程式 执行 权限 


在 前 北 个 小 节 壬 面 我 们 有 谈 到 ， 如 果 你 想 要 Apache 可 以 执行 perl 之 类 的 网 页 程式 时 ， 你 就 
得 需要 安装 一 些 额 外 的 模 组 才 行 。 其 中 mod_perl 与 mod_python 这 两 个 软体 建议 你 最 好 安装 
一 下 啦 ! 然后 我 们 也 提 到 想 要 执行 CGI 程式 就 得 到 /var/www/cgi-bin/ 目录 下 去 执行 。 如 果 你 


想 要 在 其 他 目录 底下 执行 CGI 程式 是 否 可 以 ? 当然 行 啊 | 
。 利用 新 目录 下 的 Options 参数 设 定 : 


假设 想 要 执行 CGI 的 程式 附 档 名 高 .cgi 或 .pl ， 且 放置 的 目录 在 /var/Iwww/html/cgi/ 时 ， 你 可 
以 这 样 做 : 


[root@www ~]# yum install mod_python mod_perl 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 找到 底下 这 一 行 ， 大 的 在 797 行 左右 啦 : 

#AddHandler cgi-script .cgi 

# 将 他 改 成 底下 的 模样 ， 让 附 档 名 局 ,pl 的 档案 也 能 执行 喔 ! 
AddHandler cgi-script .cgi .pl 


# 然后 加 入 底下 这 比 行 来 决定 开放 某 个 目 销 的 CGI 执行 权限 。 
&lt;Directory "/var/www/html/cgi"&gt; 

Options +ExecCGI 

AllowOverride None 

Order allow, deny 

Allow from all 
&lt;/Directory&gt; 


[root@www ~]# /etc/init.d/httpd restart 


接 下 来 只 要 疆 你 的 CGI 程式 具有 X 权 限 ， 那 广 他 就 可 以 执行 哮 ! 举例 来 说 ， 你 的 档案 在 
/var/www/html/cgi/helloworld.pl 的 话 ， 那 广 : 


[root@www ~]# mkdir /var/www/html/cgi 

[root@www ~]# vim /var/www/html/cgi/helloworld.pl 
#!/usr/bin/perl 

print "Content-type: text/html\r\n\r\n",; 

print "Hello, World."; 

[root@www ~]# chmod a+x /var/www/html/cgi/helloworld.pl 
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然后 在 网 址 列 输入 : 『http:/ 主 机 名 称 或 1P/cgi/helloworld.plJ 即 可 执行 该 档案 准将 结果 显示 
在 蒙 幕 上 面 唆 |! 


。 使 用 ScriptAlias 的 功能 : 


你 可 以 直接 利用 档 名 的 别名 来 处 理 即 可 ! 更 简单 呢 。 我 们 现在 假设 所 有 在 var/www/perl/ 目录 
下 的 档案 都 可 以 是 perl 所 撰写 的 程式 码 ， 那 广 我 们 可 以 这 样 做 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 同样 的 你 要 先 确认 这 一 行 是 存在 的 ! 
AddHandler cgi-script .cgi .pl 


# 然后 加 入 底下 这 比 行 来 决定 开放 某 个 目录 的 CGI 执行 权限 。 
ScriptAJlias /perl/ "/var/www/perl/" 


[root@www ~]# /etc/init.d/httpd restart 


[root@www ~]# mkdir /var/www/perl 
[root@www ~]# cp -a /var/www/html/cgi/helloworld.pl /var/www/perl 


现在 ， 请 在 网址 列 输入 : 『http://IP/perl/helloworld.plh ， 就 能 多 看 到 刚刚 的 资料 了 ! 这 个 方 
法 比较 棒 啦 | 因 局 该 目录 不 需要 在 Apache 首页 底下 也 可 以 成 功 的 啦 ! 这 雨 个 方法 你 可 以 随 
意 取 一 个 来 处 理 即 可 | 不 需要 两 个 都 进行 只 ! 


20.3.3 找 不 到 网 页 时 的 显示 讯息 通知 


如 果 你 的 /varwww/htmlcgi 目录 底下 没有 任何 首页 档案 (index.???) 时 ， 那 当 使 用 者 在 网 址 列 
输入 『 http://your.hostname/cgi 4 ， 请 问 结果 会 显示 出 什么 呢 ? 可 能 有 十 个 : 


。 如 果 你 的 Options 壬 面 有 设 定 Indexes 的 话 ， 那 广 该 目 钞 下 的 所 有 档案 都 会 被 列 出 来 ， 
提供 类 似 FTP 的 违 结 页 面 。 
。 如 果 没 有 指定 Indexes 的 话 ， 那 广 错 误 讯 息 通知 就 会 被 显示 出 来 。 


事实 上 CentOS 所 提供 的 Apache 已 经 规范 好 一 些 简单 的 错误 资料 网 页 了 ， 你 可 以 到 
/var/www/error/ 目录 下 瞪 瞻 就 晓得 。 不 过 该 目 钞 下 的 档案 状 没 有 中 文 讯息 ， 所 以 ... 旦 要命! 至 
於 Apache 的 错误 讯息 设 定 在 这 祷 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 大 约 在 875 行 左 右 ， 预 设 就 是 广 解 掉 的 | 

## ErrorDocument 403 /error/HTTP_FORBIDDEN.html.var 

## ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var 

## ErrorDocument 405 /error/HTTP_METHOD_ NOT_ ALLOWED.html.var 
# ErrorDocument 408 /error/HTTP_REQUEST_TIME_ OUT.html.var 
,.. . (和 后 面 省 略 ) ,,.. 


中 然 Apache 预 设 有 提供 一 些 额 外 的 资料 给 我 们 使 用 ， 不 过 ， 岛 哥 不 是 很 喜 次 那样 的 另 面 
啦 ! 反而 比较 喜 散 像 是 Yahoo 或 是 其 他 大 型 的 网 站 所 提供 的 资讯 页 面 ， 可 以 提供 给 用 户 一 些 
有 效 的 违 结 ， 这 样 会 比较 方便 用 户 违 结 到 我 们 的 网 站 啊 !1 此 时 我 们 可 以 这 样 做 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 找到 底下 这 一 段 ， 大 的 在 836 行 左 右 ， 看 看 这 些 简单 的 范例 先 : 
#ErrorDocument 500 "The server made a boo boo." 

ErrorDocument 404 /missing.html &1lt;== 将 广 解 拿 掉 吧 | 
#ErrorDocument 404 "/cgi-bin/missing_handler.pil" 

#ErrorDocument 402 http://www.example.com/subscription_info.html 


[root@www ~]# /etc/init.d/httpd restart 


上 面 那 个 档案 /missing.html 必需 要 放置 在 你 的 首页 目录 下 ， 亦 即 是 
varwww/html/missing.html 啦 ! 要 提醒 你 的 是 : 『 你 的 所 有 设 定 档 当中 (包括 
/etc/httpd/conf.d/*.conf) 只 能 存在 一 个 ErrorDocument 404 ... 的 设 定 值 ， 否 则 将 以 较 晚 出 现 的 
设 定 遍 主 上 4 。 所 以 你 得 先 搜寻 一 下 ， 尤 其 是 很 多 Linux 版 本 的 Apache 兹 没有 将 预 设 的 错误 
讯息 证 解 呢 。 至 於 那 个 404 是 啥 意思 ? 他 的 意义 是 这 样 的 : 


。 100-199 : 一 些 基 本 的 讯息 

200-299 : 用 户 端的 要 求 已 成 功 的 达成 

300-399 : Client 的 需求 需要 其 他 额外 的 动作 ， 例 如 redirected 等 等 
400-499 : Client 的 要 求 没有 办 法 完成 (例如 找 不 到 网 页 ) 

500-599 : 主机 的 设 定 错误 问题 


好 了 ， 接 下 来 让 我 们 编辑 一 下 那个 missing.html 的 档案 内 容 吧 1! ^ 人 ^ 


[root@www ~]# vim /var/www/html/missing.html 
&lLt;html&gt ， 
&lt;head&gt; 
&lt;meta http-equiv="Content-Type" content="text/html; charset=utf8"&gt; 
&1t ;title&gt ;错误 讯息 通知 &lt;/title&gt; 
&lt;head&gt; 
&lt;body&gt; 
您 输入 的 网 页 找 不 到 | &1lt;br /&gt; 
&lt;hr /&gt; 
亲爱 的 网 友 ， 你 所 输入 的 网 址 益 不 存在 我 们 的 伺服 器 当中 ， 
有 可 能 是 因 遍 该 网 页 已 经 被 管理 原 删除 ， 
或 者 是 你 输入 了 错误 的 网 址 。 请 再 次 查 明和 后 在 填 入 网 址 唆 ! 
或 按 &lLt;a href="/"&gt; 这 祷 &1lt;/a&gt; 回 到 首页 。 
感谢 你 常常 来 玩 ! 人 _A&lt;br /&gt; 
&lt;hr /&gt; 
若 有 任何 问题 ， 次 迎 联络 管理 员 &1t ;a 
href="mailto:vbird@www.centos.vbird"&gt;vbird@www.centos.vbird&]lt;/a&gt;° 
&lt;/body&gt; 
&lt;/htmlegt; 


现在 你 如 果 在 网 址 列 随便 输入 一 个 伺服 器 上 不 存在 的 网 址 ， 就 会 出 现 如 下 的 囊 面 唆 : 

















) 钳 避 好 息 通知 - Mozilla Firefox 
档案 四 上 往 辑 蔬 ) 梳 视 名 历史 他 坦 签 田 ) 工具 全 计 明 廿 ) 


人 二 | hpi92.168.1.100/asdfasdf lS 


您 翰 入 的 网 页 找 不 到 |! 





厅 爱 的 筒 友 ， 你 所 输 oate 情 址 普 不 存在 我 什 昌 伺服 器 党 中 ， 有 可 能 是 因 饥 哉 秽 
嘱 ! 或 拨 过 得 回 到 首页 。 感谢 你 常常 来 折 1“ 


若 有 任何 问题 ， 芍 迎 联 秒 管理 员 vbirdGxwwnw.centos vbird 。 


http: 叶 92.168.1.100， 20.3- 


1、 找 不 到 网 页 时 的 错误 通报 讯息 


当然 驻 ， 你 可 以 自行 设 定 出 符合 你 网 碳 风 格 的 资料 啦 ! 例如 岛 哥 的 网 站 上 面 就 列 出 一 些 基本 
的 速 结 ， 章 助 网 友 们 可 以 顺利 的 取得 他 们 想 要 的 资料 啊 ! 这 也 是 很 重要 的 功能 呢 | 人 人 ^ 


~ 


20.3.4 浏览 权限 的 设 定 动作 (order, limit) 


你 该 如 何 限制 用 户 端 对 你 的 WWW 连 线 呢 ? 你 会 说 ， 那 就 利用 iptables 这 个 防火 粮 嘛 |! 那 有 
什么 次 的 ?问题 是 ， 如 果 同 一 个 IP 来 源 ， 他 某 些 网 页 可 以 浏览 ， 但 某 些 网 页 不 能 淹 览 时 ， 该 
如 何 设 定 ?iptables 仅 能 一 口气 开放 或 整个 拒 缀 ， 乱 法 针对 WWW 的 内 容 来 部 分 放行 。 那 该 
如 何 处 理 ? 就 透 过 apache 内 建 的 order 项 目 来 处 置 即 可 。 先 来 回 发 一 下 order 搭配 allow， 
deny 的 相关 限制 : 


。 Order deny,allow : 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 预 设 局 allow。 常 用 於 : 拒绝 
所 有 ， 并 放 特 定 的 条件 ; 

。 Order allow,deny : 以 allow 高 优先 处 理 ， 但 没有 写 入 规则 的 则 预 设 高 deny。 常 用 於 : 开 
放 所 有 ， 拒 绝 特 定 的 条件 。 

。 如 果 allow 与 deny 的 规则 当中 有 重 蓝 的 ， 则 以 预 设 的 情况 (Order 的 规范 ) 高 主 。 


举例 来 说 ， 如 果 我 们 的 首页 目 丝 想 要 让 192.168.1.101 及 政府 部 门 扰 法 违 线 ， 其 他 的 则 可 以 
速 线 ， 由 上 面 的 说 明 你 可 以 知道 这 是 『 开 放 所 有 ， 拒 绝 特 定 J」 的 人 条件， 所 以 你 可 以 这 样 做 设 
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定 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
&lLt;Directory "/var/www/html"&gt; 
Options FollowSymLinks 
AllowOverride None 
Order allow, deny 
Allow from all 
Deny from 192.168.1.101 &lt;== 约 在 344 行 新 增 底下 琴行 ! 
Deny from .gov.tw 
&lt;/Directory&gt; 


[root@www ~]# /etc/init.d/httpd restart 


注意 一 下 ， 因 高 Order 是 『 allow,deny 4」， 所 以 所 有 规则 当中 属於 allow 的 都 会 被 优先 提 到 
最 上 方 ， 遍 了 避免 这 个 设计 上 的 困 摄 ， 所 以 建议 你 直接 将 allow 的 规则 写 在 最 上 方 。 而 由 於 
规则 当中 192.168.1.101 嫖 属 於 all 当中 (all 代表 所 有 的 嘛 ! )， 因 此 这 个 设 定 项 目 则 高 预 设 
值 ， 亦 即 启 deny 啦 ! 那个 .gov.tw 的 设 定 项 目 也 一 榜 。 如 果 是 底下 的 模样 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 底下 可 是 个 错误 的 示范 ， 请 仔细 看 下 个 段落 的 详细 说 明 虽 ! 
&lt;Directory "/var/www/html"&gt; 
Options FollowSymLinks 
AllowOverride None 
Order deny,allow 
Deny from 192.168.1.101 
Deny from .gov.tw 
Allow from all 
&lt;/Directory&gt; 


路 然 deny 会 先 挪 到 上 方 来 处 理 ， 不 过 因 启 192.168.1.101 是 在 all 的 范围 内 ， 所 以 发 生 重 
窗 ， 因 此 这 个 设 定 值 将 会 以 预 设 的 allow 户主 ， 因 此 就 扰 法 限制 住 这 个 192.168.1.101 的 存 
取 啦 | 这 唤 很 容易 搞 错 的 呐 ! 岛 可 也 是 常常 摘 到 头 香 脑 服 的 ~ 


例题 : 如 果 有 个 应 该 要 保 访 的 内 部 目录 ， 假 设 在 /var/www/html/lan/ ， 我 仅 要 让 
192.168.1.0/24 这 个 网 域 可 以 浏览 的 话 ， 那 广 你 应该 要 如 何 设 定 的 好 ? 答 : 这 个 案例 当中 有 
点 像 是 『 拒 绝 所 有 过 线 ， 仅 接受 特定 连 线 」 的 样子 ， 因 此 可 以 使 用 deny,allow 那个 情况 ， 所 
以 你 可 以 人 这样 做 : 


&lt;Directory "/var/www/html/lan"&gt; 
Options FollowSymLinks 
AllowOverride None 
Order deny,allow 
deny from all 
allow from 192.168.1.0/24 

&lt;/Directory&gt; 


Ee ， 如果 想 要 让 某 个 网 域 或 者 是 IP 乱 法 浏览 的 话 ， 最 好 逮 是 利用 iptables 来 处 理 比 较 受 
。 不 过 如 果 仅 是 某 些 重要 目录 不 想 引 人 家 来 查阅 的 话 ， 那 广 这 个 allow, deny 与 order 的 设 
资料 可 就 很 值得 参考 了 。 


和 r 号 示 


OS a Oe re ost 行 的 动作 的 设 定 喔 ! 那 就 是 上 us 


这 个 设 定 啦 ! 举例 来 说 ， 如 果 我 们 想 要 让 使 用 者 在 /var/www/html/lan 目录 下 人 能 进行 
TA he ttt te eh pet 他 功能 通通 不 允许 ， 那 广 你 可 
以 这 样 做 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
&lt;Directory "/var/www/html/lan"&gt; 
AllowOverride none 
Options FllowSymLinks 
# 先 允 许 能 金 进行 GET， POST 与 OPTIONS 啦 1! 
&lt;Limit GET POST OPTIONS&gt 
order allow, deny 
Allow from all 
&lt;/Limit&gt; 
# 再 规定 除了 这 三 个 动作 之 外 ， 其 他 的 动作 通通 不 允许 啦 ! 
&lt;LimitExcept GET POST OPTIONS&gt; 
Order deny,allow 
Deny from all 
&lt;/LimitExcept&gt; 
&lt;/Directory&gt; 


透 过 Limit 与 LimitExcept 就 能 钓 处 理 用 户 端 能 匆 进 行 的 动作 啦 ! 也 就 有 办 法 针对 你 的 资料 进 
行 细部 保 访 喔 。 不 过 这 些 保护 中 的 很 细部 ， 一 般 小 网 站 大 致 上 用 不 到 Limit 这 个 玩意 儿 说 。 


20.3.5 伺服 器 状态 说 明 网 页 


既然 已 经 安装 好 了 WWW 伺服 器 ， 除 了 提供 服务 之 外 ， 重 要 的 是 要 如 何 维护 唆 | 嘿嘿 1 那 广 

是 否 一 定 要 额外 安装 其 他 的 软体 才 和 外 Ph DO Dh el 

提供 的 特别 功能 来 查询 主机 目前 的 状态 ! 那 就 是 mod_status 这 个 模 组 喔 ! 这 个 模 名 
设 是 关闭 的， 你 必须 要 修改 设 定 档 来 总 动 他 才 行 。 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 先 确 定 底下 这 狼 个 项 目 卜 的 有 存在 才 行 ! 
LoadModule status_module modules/mod_status.so &lt;== 大 约 在 178 行 ， 就 是 模 组 的 载 入 


EXxtendedStatus On &lt;== 大 的 在 228 行 ， 你 可 以 将 他 打开 ， 资 讯 会 比较 多 


# 底下 的 资料 则 大 约 在 924 行 左 右 ， 你 可 以 将 他 修改 成 局 这 样 : 
&lt;Location /server-status&gt; 

SetHandler server-status 

Order deny,allow 

Deny from all 

Allow from 192.168.1.0/24 

Allow from 127.0.0.1 
&lt;/Locationg&gt; 


[root@www ~]# /etc/init.d/httpd restart 


接 下 来 你 只 要 在 你 的 网 址 列 输 入 主机 名 各 后面 加 上 http://hostname/server-status 即 可 发 现 如 
下 的 模样 : 和 


JJApache Status - Mozilla Firefox 





档案 巴 编辑 友 检视 号 历史 好 韦 统 四 工 具 轩 说 明王 


Apache Server Status for 192.168.1.100 





Server Version: Bpache/2.2.15 Un) DAV/2 PHPIS.3.2 mod pythor3.3.1 
Pythor2.6.5 mod perli2.0.4 Perlyv5.10.1 
Server Built: Jul ? 2011 11:30:37 


Current Time: onday, 08-Aug-2011 14:10:55 CST 

了 及 estatt Titme: Monday, 08-Aueg-2011 14:10:42 CST 

Parent Server Generation: 1 

Server uptime: 12 seconds 

Tetal accesses: 0 - Total Traffic: 0 kB 

CPU Usage: ud s0 cu0 cs0 

0 redquestsisec - 0 BAsecond - 

1 requests currently being processed, 7 1dle workers 由 
| 图 20.3- 


二 





2、 体 服 器 目前 的 状况 回报 网 页 


翰 出 的 结果 包括 目前 的 时 间 以 及 Apache 重新 启动 的 时 间 ， 还 有 目前 已 经 启动 的 程序 等 等 ， 
还 有 网 页 最 下 方 会 显示 每 个 程序 的 用 户 端 与 伺服 器 端的 连 线 状态 。 路 然 显 示 的 状况 捍 阳 春 ， 
不 过 该 有 的 也 都 有 了 ， 可 以 让 你 约略 瞳 解 一 下 伺服 器 的 状况 唆 。 要 注意 喔 ， 可 查阅 者 (allow 
from 的 参数 ) 还 是 需要 限制 的 比较 严格 一 点 足 |! 


20.3.6 .htaccess 和 与 认 证 网 页 设 定 


对 於 保 访 Apache 本 身 的 资料 方面 ， 除 了 上 述 的 Order 以 及 Limit 之 外 ， 逮 有 什么 方式 呢 ? 
因 局 Order 与 Limit 主要 是 针对 IP 网 域 或 者 是 主机 名 称 来 管理 ， 那 如 果 我 们 用 户 端 是 使 用 援 
接 方式 取得 IP ， 那 广 IP 会 一 直 变 动 的 ， 如 此 一 来 那个 保 访 的 目录 使 用 者 也 就 不 能 在 任何 地 
方 进入 了 ， 会 造成 一 些 困 摄 。 


此 时 如 果 能 金 使 用 密码 保 访 的 方式 ， 计 使 用 者 可 以 输入 帐号 /密码 即 可 取得 湖 览 的 权限 的 话 ， 
那 用户 端 就 不 用 受到 那个 order 的 Allow, deny 的 限制 啦 ! 申 好 一 呵呵 1! Apache 确实 刚好 有 
提供 一 个 简单 的 认证 功能 ， 让 我 们 可 以 轻 珍 愉快 的 就 设 定好 密码 保 访 的 网 页 呢 ! 


Tips: 什么 是 受 保护 的 资料 呢 ? 举例 来 说 ， 学 校 老 师 们 可 能 会 提供 一 些 教学 教材 或 者 是 习题 给 
同学 ， 这 些 资料 不 想 给 所 有 人 取得 ， 那 广 就 可 以 将 这 些 资料 放 在 特定 的 受 保护 的 目录 中 。 还 
有 例如 某 些 重要 的 Apache 伺服 器 分 析 的 资料 (本 章 和 后 面 提 及 的 一 些 分 析 工具 )， 和 这些 资 料 建 置 
的 方法 需要 总 用 CGI 程式 ， 而 CGI 程式 的 执行 是 有 风险 的 ， 而 且 那 些 分 析 所 得 的 资料 也 很 
重要 。 此 时 ， 该 程式 与 输出 结果 就 需要 放 在 受 保护 的 目录 啦 ! 


那 庆 那个 认证 网 页 如 何 搞定 ? 简单 的 说 ， 他 要 人 这样 处 理 : 


1， 建 立 受 保护 的 目录 : 既然 我 们 是 『 按 了 某 个 连结 进入 某 个 目录 之 后 ， 才 会 出 现 对 话 视 
窗 」 ， 那 广 首 先 当 然 就 是 要 有 那个 设 定 高 认证 网 页 的 『 目 录 」 唆 1 请 注意 ， 是 要 目 凶 才 
行 喔 ! 


设 定 Apache 所 需 参 数 : 然后 ， 在 对 话 视窗 中 ， 既 然 我 们 需要 输入 帐号 与 密码 ， 那 广 自 
然 就 需要 密码 档 唆 ! 另外 ， 中 然 Apache 有 支援 LDAP 及 MySQL 等 等 的 认证 机 制 ， 不 
过 我 们 这 祷 准 不 讨论 其 他 的 认 语 机 制 ， 完 全 使 用 Apache 的 预 设 功能 而 已 ， 所以， 底下 
我 们 会 使 用 基本 (Basic) 的 认证 模式 喔 ! 


3， 建 立 密码 档案 : 处 理 完 基本 的 设 定 和 后， 再 来 则 是 建立 登入 时 所 需要 的 帐号 与 密码 ! 
4. 最 后 ， 重 新 总 动 Apache 就 OK 啦 1 


其 中 ， 第 二 个 步 对 会 比较 有 趣 ， 我 们 说 过 ， 任 何 的 设 定 资料 都 可 以 直接 富 到 httpd.conf 这 个 
设 定 档 当 中 ， 所 以 设 定 保 护 目 录 的 参数 资料 确实 可 以 写 入 httpd.conf 当中 。 不 过 ， 想 一 起 ， 
如 果 你 的 Apache 伺服 器 有 30 个 使 用 者 具有 个 人 首页 ， 然 后 他 们 都 需要 揣 作 保护 目录 ， 那 个 
httpd.conf 只 有 身 局 root 的 你 才能 葛 修 改 ， 更 可 怕 的 是 『 每 次 改 完 都 需要 重新 性 动 Apachea 
一 请 问 ， 你 的 时 间 精 力 是 否 会 受到 『 很 严 属 的 考验 ? 4 


所 以 啦 ， 如 果 我 们 能 金 透 过 外 部 的 档案 来 取代 设 定 httpd.conf 内 的 参数 ， 那 广 是 否 会 比较 
好 ? 而 且 最 好 能 匆 该 档案 设 定 即 生效 ， 不 需要 重新 总 动 Apache 的 话 ， 那 就 更 好 啦 ! 因 遍 如 
此 一 来 ， 你 就 可 以 交 给 使 用 者 自行 管理 他 们 的 认证 网 页 喔 ! 呵呵 ~ 透 过 httpd.conf 内 的 


AllowOverride 人 参数， 配合 .htaccess 这 个 档案 的 设 定 就 OK 搞定 ! 这 个 设 定 项 目 和 与 设 定 档 


httpd.conf 的 关 爷 可 以 这 样 看 : 





用 户 浏览 AarArwrwihtrolirotect 
时 开始 参考 系统 设 定 的 权限 





当 AarAwwwihtrnlfhrotectAhtacocess 存 在 
时 该 档案 的 内 容 设 定 参 数 中 ,与 

anthConfig 有 关 的 将 会 职 代 httpd,oonf 
的 设 定 






权限 参考 





htted.oonf 内 的 设 定 


<Directory “Hvar/wwwihtml/iprotlect” > 


AllowOvernde AuthConhig 
最 终结 果 ， 看 htaooess 是 否 存在 
<!Directory> 1, 若 存在 ， 则 以 .htaocess 的 设 定 为 准 

2. 若 不 存在 ， 则 以 httpd,conf 设 定 为 准 图 20.3-3、.htaccess 性 





主要 设 定 档 httpd.conf 的 相关 性 
也 就 是 说 : 

e 主 设 定 档 httpd.conf 的 修订 : 你 必需 要 在 httpd.conf 这 个 主 设 定 档 当 中 先 以 
AllowOverride 指定 某 个 目 钞 下 的 .htaccess 能 钓 进行 取代 的 参数 启 何 ?一 般 有 
AuthConfig, Options 等 等 ， 考虑 到 系统 资料 的 安全 ， 建 议 提 供 AuthConfig 的 项 目 就 好 
了 。 设 定 完 尝 后 请 重新 启动 Apache。 


。 .htaccess 放置 的 目录 : 在 受 保护 的 目录 底下 务必 要 存在 .htaccess 这 个 档案 ， 透 过 这 个 
当 案 即 可 修改 httpd.conf 内 的 设 定 啊 ! 


。 .htaccess 的 修改 : .htaccess 设 定 完 『 立 刻 生效 〗， 不 需要 重新 启动 Apache， 因 高 该 档 
案 的 内 容 是 『 当 有 用 户 端 浏览 到 该 目录 时 ， 该 档案 才 会 被 使 用 来 取代 原 有 的 设 定 。 


既然 .htaccess 的 用 途 比 较 广 ， 所 以 底下 我 们 不 介绍 httpd.conf 的 认证 参数 了 ， 请 你 自行 测试 
即 可 。 底 下 主要 以 .htaccess 档案 的 设 定 高 主 喔 ! 赶紧 来 看 看 吧 | 


e 1. 建立 保 访 目录 的 资料 


假设 我 要 将 受 保 访 的 资料 放置 到 /var/www/html/protect 当中 ， 记 得 ， 这 个 目录 要 让 Apache 
可 以 浏览 到 才 行 。 所 以 你 可 以 立刻 将 一 些 重 要 的 资料 给 他 搬移 到 这 庄 来 。 我 们 先 这 样 测试 一 
下 吧 ! 建立 个 简单 的 测试 网 页 即 可 。 


[root@www ~]# mkdir /var/www/html/protect 

[root@www ~]# vim /var/www/html/protect/index.html 

&lt;htmlé&gt; 

&lt;head&gt;&lt;title&gt; 这 是 个 测试 网 页 响 1&1]t;/title&gt;&lt;/head&gt; 
&1t ;body&gt ;看 到 这 个 书面 了 吗 ? 如 果 看 到 的 话 ， 表 示 你 可 以 顺利 进入 本 受 保 访 网 页 啦 ! 
&lt;/body&gt;&1lt;/html8gt; 


e。 2.1 以 root 的 身份 处理 httpd.conf 的 设 定 资 料 


这 个 动作 仅 有 root 能 作 啦 ! 你 要 开始 编辑 httpd.conf ， 让 受 保 访 的 那个 目 钞 可 以 使 用 
.htaccess 啊 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 确定 底下 这 狼 行 是 存在 的 ， 约 在 400 行 左右 ! 
AccessFileName .htaccess 
&lt;Files ~ "^\.ht"&gt; 

Order allow, deny 

Deny from all 

Satisfy All 
&1lt;/Files&gt,; 


# 在 某 个 不 受 影响 的 地 方 加 入 这 一 段 : 
&lt;Directory "/var/www/html/protect"&gt; 
AllowOverride AuthConfig 
Order allow, deny 
Allow from all 
&lt;/Directory&gt; 


[root@www ~]# /etc/init.d/httpd restart &lt;== 重 新 启动 ， 不 要 忘记 了 | 


这 样 就 设 定 妥 当 了 ， 很 简单 吧 ! 再 接 下 来 要 准备 .htaccess 的 建立 了 。 
e。 2.2 建立 保 访 目录 下 的 .htaccess 档案 : 只 要 有 权限 建立 者 即 可 进行 


要 注意 ， 这 个 档案 是 在 保护 目 销 底 下 喔 ! 不 要 放 错 地 方 啦 ! 所 以 你 要 这 样 做 : 


[root@www ~]# cd /var/www/html/protect 
[root@www protect]# vim .htaccess 

# 只 要 加 入 底下 这 做 行 即 可 

AuthName "Protect test by .htaccess" 
Authtype Basic 

AuthUserFile /var/www/apache.passwd 
require user test 


e AuthName : 在 要 你 输入 帐号 与 密码 的 对 话 视窗 中 ， 出 现 的 『 提 示 字 元 ] 


。 AuthType : 认 褒 的 类 型 ， 我 们 这 祷 仅 列 出 Apache 预 设 的 类 型 ， 亦 即 是 『basicJ 的 啦 
。 AuthUserFile : 这 个 保 访 目 录 所 使 用 的 帐 匡 密码 设 定 档 。 也 就 是 说 ， 这 个 档案 是 随便 你 
设 定 的 ， 当 然 啦 ， 所 以 使 用 者 当然 可 以 自行 设 定 帐号 与 密码 唾 。 档案 内 的 帼 缠 不 限 在 

/etc/passwd 出 现 的 使 用 者 ! 另外 ， 这 个 档案 不 要 放置 在 Apache 可 以 浏览 的 目录 内 ， 所 


以 我 将 他 放置 在 首页 之 外 ! 避免 被 不 小 心 霜 取 。 

e。 require : 后 面 接 可 以 使 用 的 帐 匡 。 假 如 /varwww/apache.passwd 内 有 三 个 帐号 ， 
是 test, test1, test2 ， 那 我 这 和 里 只 写 了 test ， 因 此 test1, test2 将 急 法 登入 此 目录 。 
要 让 该 密码 档 内 的 使 用 者 都 能 匆 登 入 ， 就 改 成 『require valid-userJ 即 可 啊 ! 


设 定好 就 立刻 生效 了 ， 不 需要 重新 自动 任何 东西 啊 ! 
。 3. 建立 密码 档案 htpasswd (只 要 有 权限 即 可 执行 ) 


Apache 预 设 读 取 的 帐 苇 /密码 设 定 资料 是 由 htpasswd 所 建立 的 ， 这 个 指令 的 语法 


人 


分 别 


如 果 


这 样 的 : 


[root@www ~]# htpasswd [-cmdD] 密码 档 档 名 使 用 者 帐号 

选项 与 参数 : 

-C : 建立 后 面 的 密码 档案 。 如 果 该 档案 已 经 存在 ， 则 原本 的 资料 会 被 删除 
所 以 如 果 只 是 要 新 增 使 用 者 (档案 已 存在 时 )， 不 必 加 上 -Cc 的 多数 | 

-m :不 使 用 预 设 的 CRYPT 加 密 ， 改 用 MD5 方式 加 密 密 码 ! 

-d :使 用 更 复杂 的 SHA 方式 来 加 密 ! 

-D :删除 掉 和 后 面 接 的 那个 使 用 者 帼 路 ! 


# 1\， 建立 apache .passwd ， 幅 号 高 test 

[root@www ~]# htpasswd -c /var/www/apache.passwd test 

New password:  &1lt;== 这 壬 输入 一 次 密码 ， 注 意 ， 营 幕 不 会 有 任何 讯息 。 
Re-type new password: &lt;== 这 祷 再 输入 一 次 

Adding password for user test 


[root@www ~]# cat /var/www/apache .passwd 
test:FIquw/..iS4yo  &Lt;== 你 瞧 瞧 ! 已 经 建立 一 个 新 使 用 者 ! 


# 2\， 在 已 存在 的 apache.passwd 内 增加 test1 这 个 帐号 : 
[root@www ~]# htpasswd /var/www/apache.passwd test1 


再 次 强调 ， 这 个 档案 档 名 需要 与 .htaccess 内 的 AuthUserFile 相同 ， 且 不 要 放 在 浏览 器 可 以 
浏览 到 的 目录 ! 人 这样 就 算 设 定 完 蛙 啦 ! 你 可 以 使 用 浏览 器 在 网 址 列 输入 : 
『http:/your.hostname/protectJ 试看 看 ， 结 果 会 如 何 ? 会 像 底 下 这 个 样子 : 


Xx| 


2 


使 用 者 名 炒 : 
密码 | 关 关 蝴 甸 | 








http:W192.168.1.100 要 求 翰 入 帐号 及 密码 ， 训 机 站 说 : "Protect test by .htaccess" 


宁 访 的 目 钞 时， 浏览 器 出 现 的 提示 视窗 示意 图 


如 果 你 曾经 浏览 过 这 个 目录 了 ， 当 时 可 能 尚未 多 作 保 访 的 档案 ， 或 者 是 档案 设计 销 误 ， 亲 致 
你 曾经 可 以 浏览 该 网 页 ， 虽 该 网 页 会 被 你 的 浏览 器 快 取 (cache) 起 来 ， 所 以 可 登入 的 己 面 会 
一 再 地 出 现 而 不 会 跑 出 需要 认证 的 对 话 视 窗 。 此 时 你 应 该 要 : 


。 务必 将 全 部 的 沽 览 器 都 关 并 ， 再 重新 诅 动 淹 览 器 。 因 遍 你 成 功 的 登入 该 目 多 和 后 ， 
入 的 资讯 会 快 取 在 这 次 的 连 线 上 喔 ! 
e。 可 以 将 浏览 器 上 头 的 『reload (重新 读 取 )」 按 下 去 ， 让 浏览 器 重新 读 取 一 次 ; 否则 快 取 不 


1 





e。 可 以 将 浏览 器 的 快 取 资 料 全 部 清除 ， 关 并 浏览 器 后 再 重新 启动 浏览 器 看 看 


O 〇 


见 


8 


如 果 膛 是 一 直 出 问题 ， 那 就 只 好 前 往 登 录 档 (/var/log/httpd/errorlog) 察看 错误 资讯 唾 。 
的 如 口 二 


20.3.7 庶 气 主机 的 设 定 (重要 ! ) 


接 下 来 我 们 要 谈 的 是 『 主 机 代 管 」... 瞎 密 ?不 是 啦 一 是 一 个 称 局 上 讲 据 主机 的 东西 啦 一 这 东西 很 
有 用 喔 ! 他 可 以 让 你 的 一 部 Apache 看 起 来 像 有 多 个 『 主 站 首页 4 的 感觉 啦 ! 


。 什么 是 虚 扎 主机 (Virtual Host) 


所 谓 的 虚 所 主机， 基本 上 就 是 『 雇 你 的 一 部 伺服 器 上 面 ， 有 好 多 个 " 主 网 页 " 存在 ， 也 就 是 
说 ， 硬 体 实际 上 只 有 一 部 主机 ， 但 是 由 网 站 网 址 上 来 看 ， 则 似乎 有 多 部 主机 存在 的 样 

子 ! 3 。 举 个 例子 来 说 好 了 ， 岛 哥 提供 的 网 站 主要 有 主要 学 习 网 站 以 及 新 手 讨论 区 ， 分 别 在 
底下 的 连结 : 


。 主 网 站 : http://linux.vbird.org 
。 讨论 区 : http://phorum.vbird.org 


这 十 个 连结 你 给 他 点 下 去 ， 会 发 现 其 实 是 不 同 的 资料 内 容 ， 不 过 ， 如 果 你 用 dig 之 类 的 软体 来 
查验 IP 的 话 ， 会 发 现 这 两 个 网 址 都 指向 同一 个 IP 从 ! 怎 广 会 这 样 ? 没 错 啊 ! 这 就 是 虚 拨 主 
机 的 主要 功能 ! 他 可 以 让 你 的 多 个 主机 名 称 对 应 到 不 同 的 主 网 页 目 人 (DocumentRoot 参数 ) ， 
所 以 看 起 来 会 像 有 多 部 实际 主机 的 模样 啦 ! 这 样 说 ， 睦 解 虚 扎 主 机 了 吗 ? 


e 架设 的 大 前 提 : 同一 个 IP 有 多 个 主机 名 称 啦 ! 


那 记 要 架设 虚 气 主机 需要 什么 吃 噬 呢 ? 以 刚刚 岛 可 的 网 站 的 结果 局 例 ， 我 必需 要 有 多 个 主机 
名 称 对 雇 到 同一 个 IP 去 ， 所 以 说 ， 你 必需 先 挟 有 多 个 主机 名 称 才 行 。 要 如 何 抹 有 多 个 主机 名 
称 ? 那 就 是 : 


e 向 |SP 中 


请 多 个 合法 的 主机 名 称 ， 而 不 自己 架设 DNS ; 
e 自行 设 定 经 


青 多 

过 合法 授权 的 DNS 主机 来 设 定 自己 所 需要 的 主机 名 称 。 

相关 的 DNS 申请 和 与 设 定 技巧 我 们 在 前 猴 章 都 谈 过 了 ， 你 可 得 自行 去 瞧 瞧 先 ! 
e 一 个 架设 范例 绿 浪 : 


我 们 在 第 十 九 章 DNS 壬 面 不 是 有 设 定 了 多 个 主机 名 称 咽 ? 那些 主机 名 称 就 是 高 了 要 在 这 壬 
实 作 用 的 啦 ! ^^! 你 得 要 注意 的 是 ， 我 的 每 个 主机 名 称 都 必需 要 对 应 到 某 个 主 网 页 目录 ， 
底下 则 是 岛 可 的 一 个 简单 范例 : 


主机 名 种 对 应 的 主 目 录 
linux.centos.vbird /var/www/html 
www.centos.vbird /varwwwwww 
ftp.centos.vbird /var/ftp ( 较 特 殊 ) 


接 下 来 就 是 开始 设 定 唾 ! 要 告诉 你 的 是 ， 建 议 你 将 虚 所 主机 的 设 定 建立 一 个 新 的 档案 在 
/etc/httpd/conf.d/.conf 当中 ， 因 高 如 此 一 来 你 的 虚 扎 主机 设 定 档 就 可 以 进行 搬移 ， 修 改 的 时 
候 也 不 会 影响 到 原 有 的 httpd.conf 的 资料 ! 而 因 高 httpd.conf 内 有 个 Include 的 参数 将 
/etc/httpd/conf.d/.conf 的 档案 都 读 入 设 定 档 当 中 ， 所 以 设 定 上 面 就 爸 的 很 轻便 ， 人 备份 与 升级 


的 时 候 也 比较 容易 处 理 嘛 | 不 呢 唆 ， 超 紧 来 实验 一 下 先 ! 


# 1N\X， 先 建立 所 需要 的 目录 : 

[root@www ~]# mkdir /var/www/www &1lt;==www.centos.vbird 所 需 
[root@www ~]# yum install vsftpd &lt;==/var/ftp 可 由 系统 软体 提供 
[root@www ~]# echo "www.centos.vbird" &gt; /var/ww/www/index.html 
[root@www ~]# echo "ftp.centos.vbird" &gt; /var/ftp/index.html 

# 原 有 的 首页 (/var/www/html) 就 不 更 动 了 ! 另 建 雨 个 不 同 的 首页 内 容 ， 可 供 测试 用 。 


# 2\. 开始 编辑 设 定 档 ， 和 这 和 里 岛 可 用 额外 的 档案 来 设 定 喔 ! 

[root@www ~]# vim at c/nttpd/ Con dv nt aT: conf 

# 底下 这 一 行 在 规定 『 本 机 任何 介面 的 port 80 所 指定 的 虚 扎 主机 J 的 意思 
NameVirtualHost *:80 


# 先 针对 十 个 多 出 来 的 可 浏览 目录 进行 权限 方面 的 规范 啊 ! 

&lLt;Directory "/var/www/www"e&gt; 
Options FollowSymLinks 
AllowOverride None 
order allow, deny 
Allow from all 

&lt;/Directory&gt; 

&lt;Directory "/var/ftp"&gt; 
Options FollowSymLinks Indexes 
AllowOverride None 
Order allow, deny 
Allow from all 

&1lt;/Directory&gt; 


# 针对 三 部 主机 的 DocumentRoot 进行 定 ! 
&lt;VirtualHost *:80&gt; 
ServerName Jinux.centos.vbird 
DocumentRoot /var/www/html 
&lt;/VirtualHost&gt; 
&lt;VirtualHost *:80&gt; 
ServerName www.centos.vbird 
DocumentRoot /var/www/www 
CustomLog /var/log/httpd/www.access_ log combined 
# 不 同 的 主页 可 以 指定 不 同 的 登录 档 资 讯 ， 这 样 比较 好 debug 和 与 分 析 啦 |! 
&lLt;/VirtualLHost&dt 
&lt;VirtualHost *:80&gt 
ServerName ftp.centos .vbird 
DocumentRoot /var/ftp 
&lt;/VirtualHost&gt; 


[root@www ~]# /etc/init.d/httpd restart 


你 要 注意 的 只 有 绕 点 : 


1. 在 虚 扎 主机 的 设 定 上 还 有 很 多 的 可 用 的 功能 ， 不 过 ， 最 低 的 限度 是 需要 有 ServerName 
及 DocumentRoot 这 十 个 即 可 ! 

2. 使 用 了 错 气 主机 和 后 ， 原 本 的 主机 名 称 (linux.centos.vbird) 也 要 同时 写 入 虚 气 主机 的 对 应 
中 ， 和 否则 这 个 主机 名 称 可 能 会 不 知道 被 丢 到 哪 壬 去 喔 ! 

3. 在 www.centos.vbird 这 个 主机 当中 多 了 个 CustomLog ， 表 示 任 何 向 Www.centos.vbird 
要 求 资料 的 记录 都 会 改写 入 /varlog/httpd/www.access log 而 不 是 预 设 的 
/var/log/httpd/access_log。 但 这 个 新 增 的 登录 档 必 需要 加 入 logrotate 的 管理 当中 才 行 
喔 ! 否则 登录 档 会 大 到 『 爆 表 J 


接 下 来 ， 只 要 你 用 户 端的 浏览 器 可 以 找到 这 三 个 主机 名 称 闪 违 线 到 正确 的 IP 去， 你 这 个 
Apache 就 可 以 同时 提供 三 个 网 站 的 站 址 了 ， 很 方便 吧 1 人 和。 


e 虚 扎 主机 常见 用 途 


虚报 主机 局 什 度 会 这 度 熟 门 啊 ? 这 是 因 高 他 可 以 进行 底下 的 任务 : 


。 主机 代 管 : 如 果 你 有 一 部 很 快速 的 电脑 ， 配 合 你 的 网 路 频 宽 又 大 的 话 ， 那 广 你 可 以 用 这 
个 虚 扔 主机 的 技术 来 『 拉 客 」 喔 ! 因 遍 时 竟 不 是 所 有 公司 都 有 维 访 伺 服 器 的 能 力 ， 如 果 
你 能 金 提供 合理 的 流量 、 亲 和 的 资料 传输 介面 、 稳定 的 提供 服务 ， 疮 且 给 予 类 似 MySQL 
资料 库 的 支援 ， 那 廊 当 然 有 可 能 进行 了 主机 代 管 」 的 业务 啊 | 你 说 是 吧 | 人 人 ^ 


e 伺服 器 资料 备 援 系统 : 你 可 以 在 雨 个 地 方 放置 雨 部 主机 ， 主 机 内 的 网 页 资料 是 一 模 一 样 
的 (这 个 可 以 使 用 rsync 来 达成 的 ) ， 那 广 你 将 可 以 利用 Apache 的 错 气 主机 功能 ， 配 合 
DNS 的 IP 指向 设 定 ， 让 某 一 部 主机 持 点 时 ， 另 外 一 部 主机 立刻 接管 WWW 的 要 求 ! 让 
你 的 WWW 伺服 器 不 会 有 任何 断 线 的 危机 啊 1 人 人 ^( 广 : 当 人 伺服 器 持 点 时 ， 超 紧 设 定 
DNS ， 让 原本 人 A 的 IP 指定 给 B， 则 任何 向 该 |P 要 求 的 WWW 将 会 被 半 向 B，B 有 人 
的 备份 资料 以 及 虚 扎 主机 设 定 ， 搞 定 ! ) 


e。 将 自己 的 资料 分 门 别 类 : 如 果 野 心 没 有 这 广大 的 话 ， 那 广 如 果 你 有 化 个 不 同 的 资料 类 型 
上 时， 也 可 以 利用 虚 扎 主机 将 各 种 资料 分 门 别 类 啦 ! 例如 将 部 落 格 指向 
blog.centos.vbird， 将 讨论 区 指向 forum.centos.vbird ， 将 教学 资料 指向 
teach.centos.vbird 等 等 ， 这 样 的 网 址 就 很 容易 让 用 户 端 瞳 解 啦 ! 你 说 是 吧 | ^ 人 ^ 


20.4 登录 档 分 析 以 及 PHP 强化 模 组 


除了 这 些 基本 的 Apache 使 用 方式 之 外 ， 我 们 还 有 哪些 事情 可 以 玩 的 ?当然 逮 有 很 多 啦 1 包 
括 有 趣 的 PHP 效能 强化 模 组 、 登 录 档 分 析 以 上 解 整个 Apache 的 使 用 情况 等 等 ! 让 我 们 来 瞪 
一 瞧 | 


20.4.1 PHP 强化 模 组 (eaccelerator) 与 Apache 简 多 效能 测试 


路 然 PHP 网 页 程式 标榜 的 是 速度 快速 ， 不 过 因 遍 PHP 蛙 竟 是 先 将 一 些 可 用 函数 先 编译 成 局 
模 组 ， 然 后 当 网 页 使 用 到 该 PHP 程式 的 时 候 ， 再 由 呼叫 PHP 模 组 来 达成 程式 所 需要 的 行 
局 。 由 於 多 了 一 道 手 续 ， 所 以 他 的 执行 效能 还 是 有 别 认 传统 编译 的 程式 语言 唆 。 


那 庆 如 果 我 们 可 以 将 PHP 程式 预先 夸 换 成 高 可 直接 执行 的 binary file， 不 就 可 以 直接 读 取 进 
而 加 快速 度 吗 ? 没 错 | 是 这 样 僵 这 东西 称 局 预 编 器 ~ 其 中 有 一 套 坎 体 称 高 eaccelerator ， 
eaccelerator 可 以 将 你 的 PHP 程式 与 PHP 核心 及 相关 函 式 库 预 先 编译 后 新 存 下 来 ， 以 提供 
未 来 使 用 时 可 以 直接 执行 ， 加 上 他 可 以 优化 你 的 PHP 程式 ， 因 此， 可 以 让 你 的 PHP 网 页 速 
度 增 快 不 少 喔 ! eaccelerator 的 官方 网 站 在 底下 : 


e http://eaccelerator.net/ 


整个 安装 的 流程 很 简单 啦 ! 你 先 将 这 个 软体 的 原始 码 下 载 下 来 ， 我 这 里 假设 你 将 他 下 载 到 
/root 目 钞 下， 另外 你 必需 要 确定 你 有 安装 php-devel, autoconf, automake, m4, libtool 等 软 苯 
才 行 ! 那 就 起 紧 来 安装 吧 ! ( 岛 哥 是 以 0.9.6.1 这 一 版 高 范例 的 喔 ! ) 


# 1\， 解 压缩 档案 ， 状 且 进 行 patch 的 动作 : 

[root@www ~]# cd /usr/local/src 

[root@www src]# tar -jxvf /root/eaccelerator-0.9.6.1.tar.bz2 
[root@www src]# cd eaccelerator-0.9.6.1/ 


# 2\， 利用 phpize 进行 PHP 程式 的 预 处 理 

[root@www eaccelerator-0.9.6.1]# phpize 

# 过 程 会 出 现 一 些 警告 资讯 ， 不 要 理 他 没 关 傈 ! 

[root@www eaccelerator-0.9.6.1]# ./configure --enable-eaccelerator=shared \ 
&gt; --with-php-config=/usr/bin/php-config 

[root@www eaccelerator-0.9.6.1]# make 


# 3\， 将 他 整个 安装 起 来 ! 


[root@www eaccelerator-0.9.6.1]# make install 
# 此 时 这 个 新 编译 的 模 组 会 被 放置 到 /usr/1ib64/php/modules/eaccelerator.so 当中 | 


将 模 组 处 理 完 蛙 之 后 接 下 来 就 是 要 让 PHP 使 用 这 个 模 组 啦 ! 如 何 进行 呢 ? 


# IN 
[root@www ~] 
&gt,; 


[root@www 
# 关於 [1d. 


=] 


# 2N。， 修改 
[root@www 
# 在 这 个 档案 的 


Mr de 
; http://eac 
; 2011/08/08 


Moe Me kre 


extension="e 


eaccelerator. 


eaccelerator 


eaccelerator. 


eaccelerator 
eaccelerator 


eaccelerator. 
eaccelerator. 
eaccelerator. 
eaccelerator. 
eaccelerator. 
eaccelerator. 


eaccelerator 
eaccelerator 


# 3\， 建 立 
[root@www 


-] 


/etc/1d . 


eaccelerator 的 暂 存 资料 ， 重 点 在 於 权限 要 


预先 载 入 这 个 PHP 的 模 组 : 


# echo "/usr/l1ib64/php/modules/" &gt;&gt; \ 


so.conf.d/php.conf 


# ldconfig 


php.ini 喔 ! 
]# vim /etc/php.ini 


最 底下 加 入 这 狼 行 : 


i 
celerator.net/ 
VBird - 


人 
accelerator.so" 
shm_size="16" 
.cache_dir="/tmp/eaccelerator" 
enable="1" 
.Optimizer="1" 
.check_mtime="1" 
debug="0" 

filter="" 

shm_max="0O" 
shm_tt1="0" 
shm_prune_period="0Q" 
shm_only="0" 
.Compress="1" 
.Compress_level="9" 


NA 


设 定 正确 ! 


# mkdir /tmp/eaccelerator 


so.conf 以 及 ldconfig](http://linux.vbird,.org/linux_basic/0520source_code_and_t: 


[root@www 
[root@www 


-1 


基本 上 和 这样 就 设 定 受 当 啦 1 要 注意 的 是 : 『 因 高 你 的 eaccelerator 是 根据 目前 这 一 版 的 PHP 
该 心 所 编译 出 来 的 ， 所 以 未 来 如 果 你 的 Linux distribution 有 释 出 新 版 的 PHP 时， 你 也 顺利 更 
新 到 新 版 的 PHP 了 ， 那 你 的 这 个 eaccelerator 就 必需 要 自行 手动 再 更 新 一 次 ， 以 配合 到 正确 


~]# chmod 777 /tmp/eaccelerator 
~]# /etc/init.d/httpd restart 





的 PHP 版本， 否则 这 个 模 组 将 不 会 正确 运作 。J4 | 很 重要 喔 ! 
那 如 何 确认 这 个 模 组 有 正确 的 在 运作 呢 ? 你 可 以 利用 20.2.4 小 节 谈 到 的 phpinfo() 这 个 函 式 来 
查阅 ， 透 过 潮 览 器 你 应 该 会 看 到 如 下 的 画面 : 









phpinfoO - Mozilla Firefox ee lelxl 
档案 四 给 辑 区 ) 核 视 人 历史 亿 书 略 驾 工具 全 说 明明 ) 





eAccelerator 


Version 0.9.6.1 





20.4-1、 确 


定 eaccelerator 有 有 运作 的 画面 


如 果 你 的 eaccelerator 没有 租 动 的 话 ， 那 就 看 不 到 上 图 的 画面 啦 ! 藉 由 这 个 动作 来 测试 测试 
吧 | 和 人 人 | 接 下 来 我 们 利用 Apache 提供 的 一 个 小 程式 来 测试 一 下 我 们 网 站 的 效能 吧 ! 这 个 
程式 叫做 ab ， 他 可 以 主动 的 向 主机 重复 要 求 多 笔 资 料 来 确认 主机 的 效能 喔 ! 


[root@www ~]# ab [-dSk] [-c number] [-n number] 网 页 档 名 
选项 与 参数 : 

-d :不 要 显示 saved table 的 百分比 资料 ; 通常 不 要 那个 资料 ， 所 以 会 加 -d 
-k : 还 记得 上 面 的 KeepAlive 吧 |! 加 入 -k 才 会 以 这 样 的 功能 测试 ; 

-S :不 显示 长 讯息 ， 偿 显示 类 似 min/avg/max 的 简短 易 懂 讯息 ! 

-C :同时 有 多 少 个 了 同时 连 线 ] 的 设 定 ( 可 想 成 同时 连 线 的 IP ) 

-n : 同一 个 违 线 建 立交 个 要 求 通道 ! (可 想 成 同一 个 IP 要 求 的 狼人 条 连 线 ) 

更 多 的 讯息 请 自行 man ab 喔 1! 


# 针对 我 们 刚刚 测试 时 的 phpinfo.php 这 个 档案 来 测试 ! 

[root@www ~]# ab -dSk -c100 -n100 http://localhost/phpinfo.php 

This is ApacheBench, Version 2.3 &lt;$Revision: 655654 $&gt; 

Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/ 
Licensed to The Apache Software Foundation, http://www.apache.org/ 


| 

Document Path: /phpinfo.php 

Document Length: 54204 bytes 

ee 改 汪 二 

Total transferred : 5436100 bytes 

HTML transferred : 5420400 bytes 

Requests per second: 39.97 [#/sec] (mean) 

Time per request: 2501.731 [ms] (mean) 

Time per request: 25.017 [ms] (mean，across all concurrent requests ) 
Transfer rate: 2122.01 [Kbytes/sec] received 
A 


根据 这 个 软体 的 坦 出 你 会 知道 每 秒 镜 的 传输 速 府 、 最 大 传输 速度 等 等 ， 可 以 约略 知道 一 下 基 
本 效能 啦 ! 不 过 和 岛 哥 这 个 程式 是 在 自己 机 器 上 面 测试 的 ， 速 度 快 是 正常 的 1 你 可 以 在 网 路 的 
另 一 头 来 测试 一 下 说 ! ( 广 : 这 个 ab 程式 对 於 读 取 MySQL 之 类 的 网 页 似乎 没有 办 法 成 功 的 
完成 测试 的 样子 ， 你 应 该 以 较 单 纯 的 网 页 来 测试 吧 | ) 


20.4.2 syslog 与 logrotate 
请 特别 注意 ， 我 们 的 Apache 登录 档 主 要 记录 雨 个 东西 ， 分 别 是 : 


。 /var/log/httpd/access_log : 用 户 端正 常 要 求 的 记录 资讯 
。 /varlog/httpd/error log : 使 用 者 错误 要 求 的 资料 ， 包 括 伺 服 器 设 定 错误 的 资讯 等 。 


那个 /varlog/httpd/errorlog 可 以 引 你 处 理 很 多 设 定 错误 的 情况 ， 包 括 网 页 找 不 到 、 档案 权限 
设 定 错误 、 密 码 档案 档 名 填 错 等 等 。 至 於 9ccess log 则 可 以 让 你 分 析 那 个 网 页 最 热门 ! 八 | 
不 过 你 可 得 注意 的 是 : 『 在 稍 有 规模 的 网 站 下 ，Apache 的 登录 档 每 过 记录 量 甚 至 可 过 1GB 
以 上 J 的 纪录 。 以 岛 可 的 主 网 站 来 说 ， 一 个 星期 逼近 1GB 的 登录 档 是 合理 的 .… 


不 过 ， 因 高 登录 档 是 纯 文 字 资 讯 ， 所 以 如 果 能 锡 给 予 压缩 的 话 ， 那 广 人 备份 下 来 的 登录 档 将 可 
以 减少 到 数 十 MB 而 已 ， 这样 可 大 大 的 减少 了 磁 碟 空间 的 浪费 啊 ! 如 果 你 是 使 用 预 设 的 
Apache 来 处 理 你 的 伺服 器 时 ， 那 廊 系 统 已 经 作 了 一 个 logrotate 给 你 使 用 了 ， 如 果 你 是 使 用 
Tarball 自己 安装 的 ， 那 广 ... 你 就 得 要 自行 手动 建立 底下 这 个 档案 啦 ! 岛 哥 底下 是 以 CentOS 
6.x 提供 的 档案 来 作 说 明 的 : 


[root@www ~]# vim /etc/logrotate.d/httpd 
/var/log/httpd/*log { 
missingok 
notifempty 
compress ”&1t;== 建 议 加 上 这 一 段 ， 让 你 的 备份 登录 档 可 以 被 压缩 
sharedscripts 
delaycompress 
postrotate 
/sbin/service httpd reload &gt; /dev/null 2&gt;/dev/null &#124;&#124; true 
endscript 


高 什么 这 壬 很 重要 呢 ? 岛 哥 的 伺服 器 曾经 发 生 过 一 件 事 情 ， 就 是 .突然 WWW 效能 变 很 差 ! 
后 来 追踪 的 原因 竞 然 是 ... /var 的 容量 被 用 完了 ! 而 耗 掉 这 个 partition 的 元 多 竟然 是 Apache 
的 登录 档 ! 当时 /var 仅 给 5GB ， 而 每 个 星期 的 登录 档 就 上 达 1GB 以 上 ， 人 备份 四 个 星期 的 结 
果 ，/var/ 想 不 爆 掉 也 很 准 ~ 所 以 啦 ， 建 议 你 的 /var 要 给 个 10GB 以 上 才 好 呐 | 而且 人 备份 登 
录 档 也 要 压缩 才 好 呐 ! 


Tips: 关於 syslog 与 logrotate 的 详细 说 明 请 参考 基础 篇 的 内 容 喔 ! 或 者 是 到 底下 的 连结 : 
http://linux.vbird.org/linux_basic/0570syslog.php 


此 外 ， 透 过 分 析 登 录 档 其 实 我 们 可 以 知道 我 们 的 网 站 到 底 是 哪 一 个 网 页 最 热门 ?也 且 也 能 知 
道 用 户 端 是 来 自 哪里 呢 |! 目前 针对 Apache 有 很 多 的 分 析 软 体 ， 我 们 底下 仅 介 绍 两 个 常见 的 
分 析 软 体 给 大 家 只 ! 


20.4.3 登录 档 分 析 软 体 : webalizer 


事实 上 ，CentOS 6.x 预 设 就 提供 了 webalizer 这 个 分 析 软 体 了 |! 你 只 要 将 这 套 软 体 安装 上 来 
就 是 了 。 如 果 你 不 是 使 用 CentOS 呢 ? 没 关 傈 ， 官 方 网 站 上 也 可 以 下 载 ， 安 装 也 很 简单 ! 


e 官方 网 站 : http://www.mrunix.net/webalizer/ 

。 设 定 难 度 : 简单 ， 极 适合 新 手 架设 

。 软体 特色 : 大 臻 上， 所 有 分 析 的 内 容 他 都 有 了 ! 路 然 图 表 比 较 没 有 那 广 炫 .… 
。 按 权 模式 : GPL 


CentOS 6.x 提供 的 这 个 软体 设 定 档 在 /etc/webalizerconf ， 而 且 他 设 定 每 天 会 分 析 一 次 
WWW 的 登录 档 ， 不 过 这 个 软体 预 设 会 将 输出 的 结果 放置 到 /var/www/usage ， 状 且 这 个 目 
录 仅 有 本 机 可 以 查阅 ， 和 岛 哥 闪 不 喜 坎 这 样 的 设 定 。 我 们 刚刚 不 是 有 建立 一 个 保护 目录 
/Nar/Iwww/html/protect 喝 ? 这 个 目录 的 功能 来 啦 ! 岛 哥 预计 将 webalizer 的 输出 资料 放置 到 
/Var/Iwww/html/protect/webalizer 底下 去 ， 所 以 知道 密码 的 都 能 多 查阅 呢 | 整个 动作 是 这 样 
的 : 


# 1\， 先 处 理 设 定 档 ， 变 更 指定 一 下 我 们 要 输出 的 目录 即 可 : 
[root@www ~]# vim /etc/webalizer.conf 
# 确定 一 下 底下 这 和 狼 行 是 正确 的 |! 其 他 的 则 保留 预 设 值 


LogFile /var/log/httpd/access_1o0g &1lt;== 约 在 28 行 
OutputDir /var/www/html/protect/webalizer &lt;== 约 在 42 行 
Incremental yes &1lt;== 约 在 67 行 


# 2\， 建 立 该 保护 目录 的 资料 : 
[root@www ~]# cp -a /var/www/usage/ /var/www/html/protect/webalizer 
[root@www ~]# /etc/init.d/httpd restart 


# 3\， 并 始 测试 执行 webalizer 的 分 析 工 作 
[root@www ~]# webalizer 


现在 请 你 在 浏览 器 上 面 翰 入 : http://your.hostname/protect/webalizer ， 看 看 输出 的 结果 是 如 
何 吧 | 结果 应 该 会 如 下 所 示 : 





"Usage Statistics for www.centos.vhbird - Summary by Month = Mozilla Firetox 
档案 四 编辑 蔬 ) 检视 ( 友 历史 壤 书 铬 加 工具 全 说 明 U 
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20.4-2、webalizer 分 析 工 具 所 得 的 分 析 媚 面 


在 上 图 当中 的 科 头 1 不 你 逮 可 以 点 选 嘿 ， 点 先后 会 告知 你 当月 的 各 项 分 析 结 果 ， 很 不 错 吧 ! 


20.4.4 登录 档 分 析 软 体 : awstats 


除了 webalizer 之 外 ， 我 们 其 实录 可 以 透 过 awstats 这 个 属 害 到 不 行 的 per| 的 程式 来 进行 资 
料 分 析 ， 由 於 这 个 软体 是 以 perl 来 执行 的 ， 所 以 请 确定 你 的 mod_perl 已 经 安装 且 CGI 的 执 
行 权限 已 经 总 动 了 | 这 个 软体 的 特色 是 : 


。 官方 网 站 : http://awstats.sourceforge.net/ 

。 官方 软体 : http://awstats.sourceforge.net/#DOWNLOAD 

。 设 定 难 度 : 较 准 ， 需 要 有 点 技巧 ! 

。 软体 特色 : 中 文化 的 很 完整 ， 而 且 该 有 的 都 有 了 ， 相 当 炫 的 一 个 分 析 利 器 ! 


。 授权 模式 : GPL 


这 套 软体 不 但 可 以 由 系统 的 cron 来 进行 分 析 ， 其 至 还 提供 浏览 器 直接 以 CGI 的 方式 来 即时 更 
新 登录 档 呐 ! 丨 是 属 害 属 害 | 岛 哥 个 人 是 比较 不 喜欢 使 用 浏览 器 来 线 上 更 新 分 析 的 结果 ， 

局 在 你 更 新 分 析 结 果 时 ， 怎 广 知 道 系 统 会 不 会 很 忙 大 ? 如 果 系 统 正在 忙碌 中 ， 这 套 软 体 的 分 

析 可 也 是 很 耗费 系统 资源 的 呐 | 所 以 建议 直接 以 crontab 的 方式 来 处 理 即 可 。 


目前 官方 网 站 不 但 提供 tarball 甚至 也 提供 RPM 来 给 使 用 者 下 载 了 ! 申 是 方便 啊 |! 但 是 你 还 
是 要 注意 的 ， 这 个 软体 曾经 因 启 安全 性 的 问题 导致 很 多 网 站 的 持 点 ， 所 以 建议 你 还 是 把 这 个 
软体 的 输出 结果 放置 在 受 保 访 的 目录 中 喔 |! 底下 岛 哥 以 7.0-1 这 个 RPM 版 本 来 说 明 ， 请 你 自 
行 到 官方 网 站 下 载 吧 ! ( 广 : 档 名 高 awstats-7.0-1.noarch.rpm ) 


假设 你 将 这 个 RPM 档案 放置 到 /root 当中 ， 那 廊 自 己 rpm -ivh filename 去 安装 他 吧 ! 不 要 跟 
我 说 你 不 会 RPM 一 岛 哥 是 会 钾 倒 的 ~~@ _@ ! 由 於 这 个 RPM 档案 将 awstats 的 资料 通通 放 
置 到 /usr/local/awstats 当中 去 了 1! 高 了 自己 网 页 设 定 上 的 方便 ， 建 议 你 是 可 以 这 样 做 的 : 


# 1\， 先 安 装 后 再 将 awstats 提供 的 Apache 设 定 资 料 给 他 被 仙 到 conf.d 下 
[root@www ~]# rpm -ivh awstats-7.0-1.noarch.rpm 
[root@www ~]# cp /usr/local/awstats/tools/httpd_conf \ 
&gt; /etc/httpd/conf.d/awstats.conf 
[root@www ~]# vim /etc/httpd/conf.d/awstats.conf 
Alias /awstatsclasses "/usr/local/awstats/wwwroot/classes/" 
Alias /awstatscss "/usr/local/awstats/wwwroot/css/" 
Alias /awstatsicons "/usr/local/awstats/wwwroot/icon/" 
Alias /awstats/ "/usr/local/awstats/wwwroot/cgi-bin/" 
&lt;Directory "/usr/local/awstats/wwwroot"&gt; 
Options +ExecCGI 
AllowOverride AuthConfig &1t;== 这 祷 改 成 这 样 ， 因 局 要 保 访 ! 
Order allow, deny 
Allow from all 
&lt;/Directory&gt; 
[root@www ~]# /etc/init.d/httpd restart 


awstats 还 昌 的 担 贴 心 的 ， 因 局 他 释 出 的 文件 当中 就 有 关於 Apache 的 设 定 资料 ， 我 们 直接 将 
他 放 到 conf.d/ 那个 目录 下 痊 且 更 名 后， 重新 自动 Apache 就 生效 了 ! 引 方 便 。 再 来 则 是 要 作 
对 我 们 的 WWW 登录 档 来 设 定 啦 ! 设 定 档 其 实 是 在 /etc/awstats 目录 下 ， 在 该 目 钞 下 有 个 范 
例 档 局 awstats.model.conf， 其 实 这 个 设 定 档 『 档 名 」 格 式 启 : 


。 awstats. 主 机 名 称 .conf 


因 高 岛 哥 这 部 主机 名 称 遍 www.centos.vbird， 所 以 假设 主机 名 称 遍 www， 所 以 档 名 就 应 该 是 
awstats.www.conf 呢 ! 请 你 将 他 被 撒 一 个 新 档 ， 然 后 这 样 做 : 


[root@www ~]# cd /etc/awstats 


[root@www awstats]# cp awstats.model.conf awstats .www.conf 


[root@www awstats]# vim awstats .www.conf 
# 找到 底下 这 狼 行 ， 状 且 修 改 一 下 内 容 啊 : 
LogFile="/var/log/httpd/access_log" &lt;== 51 行 


LogType=W &lt;== 63 行 
LogFormat=1 &1lt;==122 行 
SiteDomain="www.centos.vbird" &lt;==153 行 


: 确定 登录 档 所 在 的 位 置 


: 针对 Www 的 登录 档 分 析 


: Apache 的 登录 档 格 式 
:主机 的 hostname 


HostAliases="localhost 127.0.0.1 REGEX[centos\.vbird$]" 
: 能 钓 执 行 awstats 的 目录 


Dircgi="/awstats" &1lt;==212 行 

DirIcons="/awstatsicons" &lt;==222 行 : 
AllowToUpdateStatsFromBrowser=0 &lt;==239 行 : 
Lang=" tw" &lt;==905 行 : 


不 要 利用 浏览 器 来 更 新 
重要 ! 这 是 语系 ! 


接著 开始 测 试 一 下 是 否 可 以 产生 正确 的 分 析 资 料 出 来 ? 


[root@www awstats]# cd /usr/local/awstats/wwwroot/cgi-bin 


[root@www cgi-bin]# perl awstats.pl -config=www 
&gt; -output &gt; index.html 


-update \ 


# 那个 -config 后面 接 的 就 是 awstats .www.conf 的 意思 ! 会 产生 index.html 


[root@www cgi-bin]# ls -1 





awstats982011.www.txt ”&1lt;== 刚 刚才 建立 的 重要 资料 档 ! 
awstats.pl &1t ;== 就 是 刚刚 我 们 下 达 的 执行 档 ! 
index.html &1t ;== 重 要 输出 首页 档案 





接 下 来 让 我 们 超 紧 来 建立 保 访 目录 的 .htaccess 档案 吧 ! 请 注意 ， 岛 哥 


档 了 ， 所 以 直接 建立 档案 即 可 啊 ! 


[root@www ~]# cd /usr/local/awstats/wwwroot 
[root@www wwwroot]# vi .htaccess 


AuthName "Protect awstats data" 
Authtype Basic 

AuthUserFile /var/www/apache.passwd 
require valid-user 


! 


也 


awstats 一 些小 图 示 的 目录 


和 里 假设 你 已 经 有 密码 


之 和 后， 只 要 你 输入 『http://your.IP/awstats/4 ， 就 能 多 看 到 输出 的 图 表 了 ! 图 表 有 点 像 这 样 : 


乌 哥 的 LinuXx 私 房 菜 :服务 矣 架设 篇 第 三 版 
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20.4-3、awstats 分 析 工 具 所 得 的 分 析 囊 面 


事实 上 ， 资 料 非常 的 多 ， 你 可 py 在 上 图 当中 的 箭头 处 ， 你 还 可 以 自己 
吐 择 曾 有 的 月 份 资料 来 进行 显示 ! ， 将 分 析 的 动作 规定 在 每 天 三 点 的 时 候 跑 ， 你 可 以 这 
样 做 : 


[root@www ~]# vim /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 
cd /usr/local/awstats/wwwroot/cgi-bin 
perl awstats.pl -config=www -update -output &gt; index.html 


[root@www ~]# chmod 755 /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 
[root@www ~]# vim /etc/crontab 
O03* * * root /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 


[二 | 


这 样 你 就 知道 你 的 主机 到 底 有 多 受 敬 迎 品 1 ^^ 人 1! 另外 ， 再 次 千 菌 拜 旗 ! 这 个 软体 所 在 的 目录 


务必 要 鼻 作 密码 保护 ! 不 要 随意 释放 出 来 ! 甚至 上 面 提供 的 一 些 目录 的 连结 你 都 可 以 根据 自 
己 的 主机 和 与 喜好 来 重新 修改 ， 会 比较 安全 的 啦 ! 


NA 双 铝 楼 分 析 J 六 天 口 ZB 化 档 必 了 
20.4 登 绿 筝 分 析 以 及 PHP 强化 横 组 76 


20.5 建立 连 缚 加 密 网 站 (https) 及 防区 站 脚本 


从 本 章 一 开始 的 20.1 就 谈 过 http 这 个 通讯 协定 是 明码 传送 资料 ， 而 那个 https 才 是 加 密 传 输 
的 ! 那加 密 的 方法 是 透 过 SSL 啊 ， 这 个 SSL 就 是 以 openss| 软体 来 提供 的 一 个 加 密 函 式 库 。 
更 多 与 https 有 关 的 资讯 ， 请 参考 20.1.4 吧 | 


20.5.1 SSL 所 需 软 体 与 逮 证 档案 及 预 设 的 https 


要 过 成 让 apache 支援 https 协定 的 话 ， 你 必须 要 有 mod ssl 这 个 软体 才 行 ! 请 先 自行 使 用 
yum 去 装 好 这 个 软体 吧 ! 音 且 重新 自动 httpd 吕 ! 同时， 我们 的 CentOS 6.x 也 已 经 预 设 提 
供 了 SSL 机 制 所 需要 的 私 给 与 四 证 档案 咖 ! 相关 软体 提供 的 档案 如 下 : 


。 /etc/httpd/conf.d/ssl.conf : mode ssl 提供 的 Apache 设 定 档 ; 
。 /etc/pki/tls/private/localhost.key : 系统 私 给 档 ， 可 以 用 来 所 作 沁 证 的 | 
。 /etc/pki/tls/certs/localhost.crt : 就 是 加 密 过 的 下 语 档 |! (signed certificate) 


既然 系统 都 已 经 莫 我 们 搞定 了 ， 那 广 就 让 我 们 直接 玉 浏 览 一 下 ， 看 看 系统 预 设 提供 的 https 是 
长 的 什么 模样 吧 ! 打开 你 的 浏览 器 ， 输 入 https:// 你 的 IP 来 违 线 看 看 : 


不 受信 三 的 连 牺 - Mozilla Firefox 
档案 辐 ” 编辑 EB” 检视 ( 太 ”历史 售 者 铬 但 工具 全 说 明 0 


€ 9 (| asmozlcellm 


过 个 过 各 未 受信 任 
分 要 求 Fiefox 和 192.168.1.100 建立 安全 副 牧 ， 但 是 我 们 扰 法 确 记 目前 的 连 特 是 安全 的 。 


一 般 来 说 ， 当 您 建立 安全 连 忽 时 ， 讽 站 窜 提 人 典 身 分 识别 以 证 明 您 过 到 了 正确 的 地 方 。 但 此 
阐 站 的 身分 抵 法 被 聊 证 * 


我 喜 怎 度 办 ? 
若 您 平常 个 音 过 到 过 谷 问 题 ， 此 错 识 讯息 代表 有 人 正 试 苦 假 目 该 料 站 ' 您 咎 雹 林业 济 贤 - 
”技术 和 和 莘 了 


7 我 了 解 此 安全 风 除 


如 果 您 知道 高 何 错误 ， 您 可 以 训 Firetox 改 信任 此 身分 识别 袜 讯 。 即便 您 信任 此 磁 站 ?此 
籍 误 依 然 代 表 有 人 正 武 著 息 是 读 抽 站 。 


除非 你 有 理由 确定 此 简 站 身分 识别 资讯 党 有 了 问题 ， 和 否则 切 义 新 增 例 外 狗 站 
新 增 倒 外 网 站 … | A 2 
20.5-1、 在 firefox 底下 看 到 的 SSL 安全 问题 图 示 








就 如 同 本 章 20.1.4 谈 到 的 ， 因 高 我 们 这 个 Apache 网 站 闪 没 有 将 此 还 证 向 CA 广 册 ， 因 此 就 

会 出 现 上 述 的 讯息 了 ! 这 就 类 似 ssh 违 线 时 ， 系 统 需要 你 输入 『 yes 4 是 一 样 的 啦 |! 要 接受 

We 延伸 出 箭头 2 的 位 
， 按 下 去 吧 | 然后 就 会 出 现 如 下 所 示 : 





新 增 安 全 例外 x| 
栎 正 试图 霖 匡 Firetox 要 如 何 识别 此 襟 站 的 设 定 > 
“，“” 著 注意 ， 合法 的 银行、 商店 或 其 他 公 于 镁 站 不 合 村 求 您 运 座 做 ! 
人 
伺服 器 
位 址 : #192 .168.1.100; 











- 般 误 状态 
此 料 站 党 试用 拓 区 的 咨讯 缴 别 自己 * 检视 权 )… 
敌 如 的 狗 站 





遥 改 届 论 不 同 的 网 站 ' 该 网 站 的 身分 可 能 已 被 盗用 。 
未 知 身分 
尖 证 未 受信 任 ， 内 高 肖 未 被 认 得 的 省 证 杰 构 验 证 > 3 


1 2 


lv 永久 人 甬 存 此 例外 思 











确认 安全 例外 C) | 取消 


20.5-2、 在 





firefox 底下 接受 一 把 私有 的 逮 证 所 需要 的 流程 


如 果 你 确定 这 个 网 站 是 你 自己 的 可 信任 网 站 ， 那 就 按 下 1 及 2 的 箭头 处 ! 如 果 膛 想 要 看 一 下 
这 个 网 站 所 提供 的 相关 尿 证 内 容 ， 就 按 下 3 箭头 的 地 方 : 


要 起 梳 秽 器:"www_.centos.ybird” x| 





牌 法 验 填 此 亚 填 ， 因 癌 恶 填 登 行者 未 被 信任 





签发 条 
一 般 名 种 CN) www .centos.ybird 


钥 猴 (0) SomeOrganization 
和 组织 单位 OU) SomeDOrganizationalUnit 
序号 04:62 


签发 者 

一 般 名 三 (CN) www.centos.vbird 

组 狼 (0) SomeOrganization 

组 各 单位 OU) SomeDOrganizationalUnit 


有 效 2 
签 改 昌 20111848 人 

到 期 日 2012/877 

指 近 


SHA1 指 和 被 22:2E:03.07 :A1:FO:0A:46:BC:ES:39:E8:1E:2D:4E:F:A0:30:3F:9D 
MD5 指 被 OTFA:1D:15:ABFS:44:F3:01:ES:7F:ES:80:87:31:04 


20.5-3、 在 firefox 底下 
观察 逮 证 的 详细 内 容 


由 於 这 个 还 证 档案 的 建 置 是 在 第 一 次 自动 Linux 时 就 安装 好 了 还 证 档 ， 而 在 CentOS 6.x 底 

下 ， 预 设 的 未 证 有 效 期 限 高 1 年， 所 以 你 就 会 看 到 上 图 中 箭头 2 所 指 的 ， 签 发 日 到 到 期 日 共 
有 一 年 啊 ! 当 你 按 下 关闭 后 ， 就 能 金 看 到 实际 的 https:// 提供 的 网 站 内 容 唾 ! 这 就 是 预 设 的 

SSL 网 站 啦 | 你 的 重要 资讯 可 以 放 在 这 和 里 ~ 让 资 料 在 网 路 上 传输 更 佳 的 安全 ! 


20. 5. 2 氛 有 自 市 提 到 证 的 ee 
。 建立 过 汶 楼 


设 的 轧 证 中 然 已 经 可 以 让 你 顺利 的 使 用 https 了 ， 不 过 ， 绎 证 的 有 效 日 仅 有 1 年 而 已 ~ 实在 
sh 所 以 ， 我 们 还 是 得 要 自身 未 证 才 行伍 这 个 未 证 的 更 作 仅 是 私有 WWW 网 站 的 用 途 ， 音 
没有 要 拿 去 CA 广 册 喔 ! 那 广 自 摧 沁 说 需要 什么 步骤 呢 ? 基 本 上 需要 的 流程 是 : 


1， 先 建立 一 把 private key 预备 提供 给 SSL 未 证 签 章 要 求 所 用 ; 
2.， 最 后 建立 SSL 还 证 (test certificates) 。 


那 魔 建立 晕 证 有 没有 很 困 准 呢 ? 没有 啦 ! 因 遍 CentOS 6.x 已 经 帮 我 们 写 好 了 Makefile 了 ! 
你 先 到 /etc/pki/tls/certs 这 个 目录 下 ， 然 后 直接 输入 make 这 个 指令 ， 就 能 金 看 到 所 有 可 行 的 
目标 动作 ! 我 们 就 可 以 很 快速 的 建 置 好 还 请 喔 | 不 过 ， 因 高 预 设 的 私 给 档 需 要 加 上 密码 才能 
锡 进 行 建立 ， 所 以 我 们 还 得 要 额外 进行 一 下 动作 就 是 了 。 好 |! 现在 假设 我 们 要 建立 的 是 名 高 
vbird 的 还 证 ! 那 广 底下 流程 中 ， 所 有 的 关键 字 就 是 vbird ! 简单 流程 如 下 所 示 : 


# 1\， 先 到 /etc/pki/tls/certs 去 建立 一 把 给 Apache 使 用 的 私 钴 档案 : 

[root@www ~]# cd /etc/pki/tls/certs 

[root@www certs]# make vbird.key 

umask 77 ; /usr/bin/openssl genrsa -aes128 2048 &gt; vbird.key &lt;== 其 实 是 这 个 指令 
Generating RSA private key, 2048 bit long modulus 


e is 65537 (9x10001) 
Enter pass phrase:  &LlLt;== 和 这 壬 输入 这 把 私 答 的 密码 ， 需 要 多 於 四 个 字 元 ! 
Verifying - Enter pass phrase: &lLt;== 再 一 次 ! 


# 2\， 将 刚刚 建立 的 档案 中 ， 壬 面 的 密码 取消 掉 ! 不 要 有 密码 存在 啦 ! 

[root@www certs]# mv vbird.key vbird.key.raw 

[root@www certs]# openssl rsa -in vbird.key.raw -out vbird.key 
Enter pass phrase for vbird.key.raw: &lt;== 输 入 刚刚 的 密码 啦 ! 
writing RSA key 

[root@www certs]# rm -f vbird.key.raw &Lt;== 蓝 的 金 给 档 移 除 
[root@www certs]# chmod 400 vbird.key  &Lt;== 权 限 一 定 是 400 才 行 ! 


# 3\， 建 置 所 需要 的 最 终 到 给 档 ! 

[root@www certs]# make vbird.crt SERIAL=2011080801 

umask 77 ; /usr/bin/openssl req -utf8 -new -key vbird.key -x509 -days 365 
-out vbird.crt -set_serial 2011080801 &1lt;== 可 以 加 入 日 期 序 匡 

You are about to be asked to enter information that will be incorporated 

into your certificate request. 

Country Name (2 letter code) [XX]:Tw 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 

Organization Name (eg, company) [Default Company Ltd]:KSU 

Organizational Unit Name (eg, section) []:DIC 

Common Name (eg, your name or your server's hostname) []:www.centos.vbird 
Email Address []:vbird@www.centos.vbird 


[root@www certs]# 11 vbird* 
-rw------- . 1 root root 1419 2011-08-08 15:24 vbird.crt &1lt;== 最 终 尝 语 档 |! 
-r-------- . 1 root root 1679 2011-08-08 15:22 vbird.key &lLt;== 系 统 私 给 档 


这 样 就 建立 好 还 证 档 了 | 接 下 来 就 是 得 要 去 处 理 ssl.conf 这 个 设 定 内 容 喔 ! 另外 ， 这 把 未 证 
依 著 只 能 使 用 1 年 上 如果 你 想 要 建立 十 年 的 晃 证 ， 那 就 得 要 修改 一 下 Makefile 壬 面 的 内 容 ， 
将 365 改 成 3650 即 可 ! 


Tips: 如 果 你 曾经 多 次 重复 进行 上 述 的 建立 油 证 动作 ， 会 发 现 到 同一 个 油 证 内 容 若 催 作 多 次 ， 
则 最 终 用 户 端 浏览 器 人 讯息 ， 半 致 乱 法 速 线 | 因此 ， 建 议 多 加 一 个 序号 
全 





e@ 修改 ssl.conf 的 内 容 ， 使 用 自 抽 有 还 证 


修改 ssl.conf 的 内 容 也 是 很 简单 ! 只 要 修改 两 个 地 方 ， 亦 即 是 档案 档 名 的 地 方 即 可 ! 


[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 
SSLCertificateFile /etc/pki/tls/certs/vbird.crt &1lt;== 约 在 105 行 
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key &lt;== 约 在 112 行 


[root@www ~]# /etc/init.d/httpd restart 


然后 再 以 浏览 器 去 浏览 https:// 的 网 址 ， 就 能 多 查阅 到 刚刚 建立 的 四 语 资料 。 不 过 ， 因 局 我 们 
之 前 已 经 有 潮 览 明 预 设 的 膛 证 ， 所 以 网 页 以 及 还 证 都 有 被 快 取 过 ! 因此 ， 你 可 能 得 需要 到 济 
览 器 的 隐私 保 访 的 地 方 ， 将 记录 的 于 证 删除 ， 状 且 将 网 页 快 取 删 除 ， 这 样 才 能 钓 看 到 最 终 如 
下 的 正确 泊 证 资料 喔 ! 
渗 填 检视 器:"www .centos.vbird" x| 
三 培 衣 | 细节 四 ) | 
逢 法 验 导 此 条 慎 ， 因 总 适 虱 登 行 者 未 被 信任 。 








等 登 输 
一 般 名 稳 {CNY www .centos.vbird 


得 后 (0) KsU 
钥 秩 单 位 (OU) DIC AS 
序号 77:DE:A8:61 


签 登 者 

一 般 名 称 CN) www centos.vbird 
组 秋 0O) ESU 

组 猴 单 位 :OU) DIC 

有 效 

签发 日 201158 避 

到 期 日 2012187 

指 近 


SHA1 指 寝 35:96:38:86:69:D4:2E:DC:B6:D8:13:AE:CF:05:11:50:5E:B0:32:B1 
MD5 指 税 2F:01:C1:49:8C:78:5B:08:F8:F?:3D:.A8:E?:6&.09:4B on 本 
20.5-4、 检 查 还 证 的 妖 


细 内 容 |! 


20.5.3 将 加 密 首 页 与 非 加 密 首 页 分 准 


或 许 你 已 经 发 现 一 个 盎 但 头 的 地 方 ， 就 是 我 的 http:// 以 及 https:// 首页 是 一 模 一 样 的 嘛 ! 那 广 
我 的 读者 干 嘛 没事 找事 干 ， 肯定 不 会 使 用 https 的 嘛 ! 那 怎 办 ? 怎 广 强 制 使 用 者 使 用 https:// 

来 查阅 我 的 重要 资料 ?很 简单 啊 ! 透 过 虚 气 主机 就 好 了 啊 | 因 局 SSL 模 组 也 是 预 设 提供 了 这 
个 功能 的 嘛 ! 修改 会 不 会 很 麻烦 呢 ? 不 会 啦 ! 你 只 要 将 http 及 https 的 首页 分 元 即 可 ! 我 们 

这 广 假 设 好 了 : 


。 一 般 明 硒 传输 的 网 页 首页 不 要 释 更 ; 
e https:// 的 首页 放置 到 /varwww/https/ 目录 下 。 


所 以 我 们 得 先 要 设 定 /var/www/https 目录 才 行 ! 然后 ， 只 要 修改 ssl.conf 档案 内 容 即 可 ! 整 
个 过 程 可 以 这 样 处 理 : 


# 1\， 处 理 目 录 与 预 设 的 首页 jndex.html 档案 
[root@www ~]# mkdir /var/www/https 
[root@www ~]# echo "This is https' home" &gt; /var/www/https/index.html 


# 2\， 并 始 处 理 ssl.conf 的 内 容 喔 ! 
[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 


Listen 443 &1t ;== 预 设 的 监 区 夫 口 ! 不 建议 修改 | 
&lt;VirtualHost _default_:443&gt; &1t ;== 就 是 虚 所 主机 的 设 定 咖 | 
DocumentRoot "/var/www/https"  &1Lt;== 约 84 行 ， 拿 掉 广 解 改 掉 目 录 名 称 
ServerName *:443 &1t ;== 拿 掉 广 解 ， 状 将 主机 名 称 设 定 启 * 
SSLEngine on &1lLt;== 有 支援 SSL 的 意思 | 


SSLCipherSuite ALL: !ADH: !EXPORT: !SSLVv2:RC4+RSA:+HIGH:+MEDIUM:+LOW 
SSLCertificateFile /etc/pki/tls/certs/vbird.crt 
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key 
&lt;/VirtualHost&gt; 


[root@www ~]# /etc/init.d/httpd restart 


大 部 分 都 使 用 预 设 值 ， 就 是 DocumentRoot 以 及 ServerName 需要 留意 就 是 了 。 如 此 一 来 
我 们 就 将 https, http 两 个 完整 的 分 并， 你 的 重要 资料 需要 加 密 的 ， 终 於 有 个 可 靠 的 地 方 撮 放 


唆 1^ 人 和 ^ 


20.5.4 防 砍 站 软骨 


狼人 个 比较 知名 的 网 站 管理 员 大 概 都 有 和 这样 的 困 援 ， 那 就 是 网 站 常 被 砍 站 软体 所 强力 下 载 ， 结 
果 造 成 主机 的 CPU loading 过 重 ， 最 后 竟然 会 草 致 死 掉 ~- 唉 ! 站 是 的 ~ 人 怕 出 名 著 怕 肥 呐 ! 
先 来 解释 一 下 什么 是 砍 站 吧 ! 


所 谓 的 『 欧 站 」， 就 是 以 类 似 多 点 速 线 下 载 的 持续 性 讯息 传 速 软体 进行 网 站 资料 的 下 载 ， 而 
A 
错 ! 是 很 属 害 ， 但 是 御 也 害 死 人 了 一 怎 广 说 呢 ? 


因 局 这 种 软体 常常 会 局 了 加 快 download 的 速度 ， 所 以 探 用 多 点 速 线 的 方式 ， 也 就 是 会 持续 
断 的 向 Server 发 出 要 求 封包 ， 而 由 於 这 些 封包 状 不 见得 能 狗 成 功 的 让 Server 把 ee 
Client 端 ， 常 常会 乱 法 投 氮 就 是 啦 ! 这 样 的 结果 就 是 ... 造 成 Server 要 一 直 不 断 的 回应 ， 又 扰 
法 正确 的 回应 出 去 ， 此 外 ， 要 求 太 过 频繁 ， 结 果 主 机 应 接 不 暇 ， 最 和 后... 就 当 机 了 ... 上 的 是 林 
老师 为 人 ~~ 


人 样 的 原因 ， 半 致 服务 常常 断断续续 的， 站 且 ， 由 於 
CPU loading 太 高 ， 结 果 让 正常 囊 线 进来 看 资料 的 网 友 没 有 足 金 的 资 8 源 ， 因 此 人 网 页 并 闸 的 速度 
就 释 的 很 慢 ~ 唉 ~ 这 些 砍 站 的 人 ， 也 太 不 道德 啦 ! 


由 於 这 种 砍 站 软体 昌 的 很 麻烦 ， 一 不 注 ee ， 三 天 两 头 就 要 重新 闻 机 
一 次 ， 完 全 让 Linux 的 稳定 性 乱 法 发 挥 ! 扶 是 气 死 了 ~ 和 后 来 ， 岛 可 就 自行 写 了 一 个 scripts 来 
描 这 样 的 IP ! 我 的 作法 是 这 样 的 : 


1， 由 於 砍 站 软体 会 多 续 下 载 ， 因 此 ， 同 一 个 IP 在 同一 个 时 间 内 ， 会 有 相当 连 线 发 
站: 


.由 於 他 是 重 蓝 不 断 的 要 求 违 线 ， 因 此 刚刚 建立 的 速 线 在 达成 下 载 的 目的 和 后， 会 立刻 死 
掉 ， 而 又 多 生出 其 他 的 束缚 出 来 ， 因 此 ， 和 这 个 时 候 他 的 束缚 情况 就 变 的 相当 的 不 正常 

了 |! 

.由 於 某 些 较 蔷 的 砍 站 软体 状 不 会 『 欺 骗 」 主机， 所 以 ， 会 在 主机 的 登录 档 和 里面 记录 住 
Teleport 的 标记 | 

.既然 如 此 的 话 ， 那 广 我 就 让 我 的 主机 每 分 镜 去 检查 两 个 东西 (1) 先 检查 log file ， 如 果 有 发 
现 到 相关 的 Teleport 字 词 ， 就 将 该 IP 抵 描 掉 ; (2) 使 用 netstat 来 检查 同一 个 IP 的 同时 过 
线 ， 如 果 该 速 线 超 过 一 个 值 (例如 同时 有 12 个 连 线 ) 的 话 ， 那 广 就 将 该 IP 抵 描 掉 ! 

. 此外， 由 认 上 面 的 方案 可 能 会 将 Proxy 的 Client 端 也 同时 抵 描 掉 ， 申 是 可 习 啊 | 这 个 时 
候 ， 这 支 程式 就 会 主动 的 将 (1) 的 情况 的 主机 抵 抽 3 天 ， 至 於 (2) 的 情况 则 抵挡 2 小 时 ! 过 
了 该 抵 描 的 时 限 后 ， 该 IP 即 可 又 速 上 我 们 的 主机 了 | 


大 致 上 就 是 这 样 吧 ! 这 样 的 一 程式 需要 与 iptables 相互 配合 ， 所 以 ， 请 先 查阅 一 下 第 九 章 的 
防火 吐 内 容 ， 然 后 再 来 下 载 这 支 程式 吧 ! 这 支 程式 你 可 以 在 底下 的 网 址 下 载 呢 ! 


e http://linux.vbird.org/download/index.php?action=detail&fileid=47 


详细 的 安装 步 晴 岛 哥 已 经 以 中 文 写 在 该 档案 里 面 了 ， 所 以 请 先 查 看 一 下 该 档案 的 前 面 说 明 部 
分 吧 ! 此 外 ，Study Area 的 netman 大 哥 也 已 经 开发 了 一 套 很 棒 的 防 砍 站 的 程式 了 | 在 防 堵 
砍 站 的 原理 上 面 是 完全 相同 的 ， 不 过 写法 可 能 不 是 很 雷同 就 是 了 | 如 果 有 需要 的 话 ， 也 可 以 
前 往 Study-Area 搜寻 一 下 喔 ! 


e http://phorum.study-area.org/viewtopic.php?t=13643 


20.6 重 则 回顾 


e。 WWW 的 传输 协定 使 用 HTTP (Hyper Text Transport Protocol) ， 最 早 是 由 欧洲 核子 物理 
实验 室 的 伯 纳 斯 - 李 所 发 展 的 ; 

。 WWW 在 server/client 端 主 要 传 亡 的 讯息 资料 以 HTML (Hyper Text Markup Language) 
语法 户主 ; 

e http://www.w3c.org 高 制订 与 发 做 WWW 标准 语法 的 组 织 ， 你 撰写 网 页 最 好 依据 该 站 之 
标准 高 宜 ; 

e。 Apache 是 达成 WWW 伺服 器 的 一 项 软体 ， 至 於 用 户 端 的 浏览 则 使 用 浏览 器 ， 目 前 可 使 
用 firefox 

。 浏览 器 可 达成 的 主机 连结 不 止 http， 可 在 网 址 列 输 入 对 应 的 『 协 定 :// 主 机 [:portl/ 资 源 4 即 
可 取得 不 同 的 资料 ; 

。 若 要 WWW 伺服 器 可 以 达成 与 使 用 者 资讯 互动 ， 尚 须要 网 页 程式 语言 (如 PHP, perl 等 ) 
以 及 资料 库 软 体 (如 MySQL, portgresql 等 ) ; 

。 因 启 http 使 用 的 是 明码 传送 ， 目 前 WWW 可 利用 SSL 等 机 制 来 进行 资料 加 密 的 传输 ; 

。 Apache 的 设 定 档 其 实 只 有 httpd.conf 而 已 ， 其 他 的 设 定 档 都 是 被 Include 进来 的 ; 

e。 Apache 的 首页 目 钞 以 DocumentRoot 决定 ， 首 页 档案 则 以 Directorylndex 决定 ; 

。 Apache 可 以 透 过 虚 抱 主机 的 设 定 以 指定 不 同 主机 名 稳 到 不 同 的 DocumentRoot 下 ; 

。 Apache 是 多 执行 绪 的 软体 ， 可 以 启动 多 个 程序 来 负责 WWW 。 主 要 的 模 组 有 prefork 及 
worker， 至 於 最 大 可 连 线 的 数量 则 以 MaxClients 来 决定 。 

。 若 要 正确 的 让 浏览 器 显示 网 页 的 编码 格式 ， 最 好 在 网 员 上 宣告 语系 ， 状 将 Apache 的 设 
定 档 httpd.conf 内 的 AddDefaultCharset 设 定 值 取消 ; 

。 在 Apache 可 浏览 的 目录 权限 设 定 上 (Options 参数 )， 最 好 将 Indexes 拿 掉 ; 

。 透 过 AllowOverride 与 .htaccess 可 让 使 用 者 在 自己 管理 的 目录 下 制订 自己 的 风格 ; 

。 Apache 本 身 提 供 一 个 apachectl 的 script 让 使 用 者 得 以 快速 管理 其 apache 的 服务 ; 

。 Apache 分 析 的 资料 如 果 比 较 重 要 时 ， 务 必 以 SSL 或 者 是 保 访 目 录 来 保 访 。 


20.7 本 章 必 题 


。 请 问 LAMP 这 个 伺服 器 代表 什么 意思 ?这 个 名 词 代 表 了 Linux + Apache + MySQL + 
PHP 这 个 WWW 伺服 器 的 组 成 ! 

。 Apache 的 设 定 档 档 名 一 般 高 何 ? Apache 的 设 定 档 档 名 高 httpd.conf ， 不 过 ， 由 於 
httpd.conf 内 容 参 数 可 以 使 用 『 include "额外 设 定 档 名 "3， 所 以 也 可 能 具有 其 他 的 额外 
设 定 档 喔 ! 

。 在 Apache 的 设 定 档 当 中 ， 哪 一 个 参数 是 用 来 设 定 『 主 网 页 4 的 ? 设 定 主 网 页 的 参数 
局 : DocumentRoot 喔 ! 后 面 接 的 是 主 网 页 放置 的 『 目 钞 〗 | 

。 哪 一 个 指令 用 来 重新 启动 与 关闭 Apache ? (请 以 Apache 本 身 提供 的 功能 来 说 明 ) 其 实 不 
论 是 RPM 还是 Tarball 都 是 使 用 apachectl 这 个 档案 来 总 动 apache 的 ， 不 过 RPM 已 经 
将 该 档案 整合 到 /etc/init.d/httpd 祷 面 去 而 已 

。 当 我 使 用 ps -aux 的 时 候 ， 发 现 好 多 的 httpd... 的 程序 ， 这 是 正常 的 吗 ? 最 多 可 以 有 维 个 
程序 是 在 那个 档案 的 那个 参数 所 设 定 的 ? 由於 Apache 预 设 高 多 执行 绕 ， 所 以 往 动 多 个 
processes 是 正常 的 。 至 於 店 动 然 个 process 则 由 很 多 设 定 所 处 理 ， 包括 
MinSpareServers, MaxSpareServers, MaxClients 等 等 。 

e。 又 ， 呈 上 题 ， 这 些 程序 (process) 的 owner 与 group 是 谁 ? 该 察看 那个 设 定 档 的 那个 参 
数 ? 同样 察看 httpd.conf 祷 面 的 User 与 Group 这 十 个 设 定 值 ! 

e 如 果 今 天 我 以 http://your.ip 结果 逢 发 现 淹 览 器 出 现 类 似 FTP 的 书面 (会 列 出 该 目录 下 的 所 
有 档案 )， 这 是 什么 原因 造成 的 ? 该 如 何 避 免 ? 这 是 由 於 在 httpd.conf 里 面 ， 针 对 该 目录 
的 设 定 参数 『 Options 4 当中 ， 设 定 了 Indexes 这 个 设 定 值 ， 过 致 当 找 不 到 主页 时 (通常 
是 index.html)， 就 会 将 该 目 钞 下 的 所 有 档案 郁 出 来 ! 解决 的 方法 就 是 拿 掉 Options 祷 面 
的 Indexes 设 定 值 即 可 ! 

。 在 Apache 壬 面 .htaccess 这 个 档案 的 功能 高 何 ? 可 以 用 来 取代 httpd.conf 祷 面 的 设 定 参 
数 ! 创造 属於 使 用 者 自己 的 Apache 风格 ! 

。 若 你 之 前 浏览 过 网 页 ， 但 显示 的 资料 准 非 正确 的 中 文 。 和 后 来 按照 上 文 的 说 明 修 改 了 中 文 
的 设 定 ， 御 还是 乱 法 看 到 中 文 。 请 问 可 能 的 原因 高 何 ? 由 於 你 曾经 浏览 过 该 网 站 的 网 
页 ， 所 以 该 网 页 会 被 你 的 测 | 览 器 所 者 存 (cache)， 因 此 你 应 该 可 以 这 样 做 : 





o 在 同一 页 面 下 按 下 『 reload 4 来 重新 载 入 ; 
o 清除 掉 所 有 的 浏览 器 快 取 ; 
o 将 原本 的 网 页 在 伺服 器 端 改 名 ， 状 让 浏览 器 浏览 新 的 网 页 名 称 。 
。 PHP 的 程式 码 一 定 要 使 用 <?php 程式 码 ?> 吗 ? 有 没有 替代 方案 ? 预 设 的 情况 下 ， 你 应 
该 要 输入 <?php ?> 才能 高 入 PHP 的 程式 。 不 过 早期 的 程式 或 许 都 以 <? ?> 来 撰写 的 。 
如 果 想 要 让 该 种 方式 生效 的 话 ， 你 可 以 进入 /etc/php.ini 档案 中 ， 修 改 『short_open_tag 
= OnJ 这 个 设 定 项 目 即 可 。 


20.8 参考 资料 与 延伸 阅读 


葛 林 . 称 迪 著 ， 杜 默 译 ，『Linux 伟 奇 1， 时 报 出 版 ; 
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。 W3C 标准 制订 与 公布 网 站 : http://www.w3c.org 


。 Apache 官方 网 站 : http://www.apache.org/ 


e Mozilla 官方 网 站 : http://www.mozilla.org/ 

。 PHP 官方 网 站 : http://www.php.net/ 

。 MySQL 官方 网 站 : http://www.mysql.org/ 

MySQL 中 文 使 用 手册 : 
http://linux.tnc.edu.tw/techdoc/mysql/mysql_doc/manual toc.html 

Apache 1.3 版 的 Tarball 安装 方 
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2003/04/29 : 加 入 PHP 原始 码 程 式 优化 模 组 MM Cache 说 明 。2003/05/07 : 加 入 ab 这 个 效 
能 测试 的 说 明 ! 2003/05/30 : 使 用 Tarball 安装 时 常常 发 生 一 些 困 援 ， 加 入 User/Group 的 设 
定 说 明 ! 2003/09/10 : 将 原本 在 2002/12 安装 Tarball 的 软体 更 新 局 目前 2003/09 最 新 的 版 
本 来 安装 喔 ! 2003/10/02 : 加 入 一 些 问题 的 克服 之 道 嘱 ! 2004/03/25 : 修订 2004/03/25 : 修 
订 MySQL 安装 的 流程 ! 第 四 步骤 加 入 权限 的 修订 |! 2004/09/03 : 修改 了 MMCache 的 主 网 
页 。2006/10/21 : 将 著 的 文章 移动 到 此 处 2006/11/09 : 花 了 很 多 时 间 修 改 ， 不 再 提供 tarball 
的 安装 需求 了 ! 2006/11/10 : 预先 释 出 版 本 ， 包 括 修改 MM Cache 成 局 eaccelerator、 增 加 
SSL 修改 awstats 之 安装 等 。2010/02/08 : 网 友 告 知 ，SSL 建 置 的 genrsa 应 该 是 private 
key 而 非 public key 喔 ! 这 部 份 岛 哥 误解 了 。 2011/05/10 : 将 普 的 基 於 CentOS 4.x 的 版 本 移 
动 到 此 处 2011/05/27 : 终 於 改 完了 | 这 次 的 改版 幅度 不 会 很 大 ， 主 要 是 适应 在 CentOS 5.x 
的 版 本 上 面 啦 ! 2011/08/05 : 将 基 认 CentOS 5.x 的 版 本 移动 到 此 床 
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第 二 十 一 章 、 文 件 服务 器 之 三 : FTP 服务 器 


最 近 更 新 日 期 : 2011/08/08 


FTP (File Transfer Protocol) 可 说 是 最 古老 的 协议 之 一 了 ， 主 要 是 用 来 进行 档案 的 传输 ， 尤 其 
是 大 型 档案 的 传输 使 用 FTP 更 是 方便 ! 不 过 ， 值 得 注意 的 是 ， 使 用 FTP 来 传输 时 ， 其 实 是 具 
有 一 定 程度 的 『 危 险 性 」， 因 为 数据 在 因特网 上 面 是 完全 没有 受到 保护 的 『 明 码 J」 传输 方 

式 ! 但 是 单纯 的 FTP 服务 还 是 有 其 必要 性 的 ， 例 如 很 多 学 校 就 有 FTP 服务 器 的 架设 需求 啊 | 


e 21.1 FTP 的 数据 链 路 原理 
o 21.1.1 FTP 功能 简介 
o 21.1.2 FTP 的 运作 流程 与 使 用 到 的 端口 
o 21.1.3 客户 端 选择 被 动 式 联机 模式 
o 21.1.4 FTP 的 安全 性 问题 与 替代 方案 
o 21.1.5 开放 什么 身份 的 使 用 者 登入 
e 21.2 vsftpd 服务 器 基础 设 定 
o 21.2.1 为 何 使 用 vsftpd 
o 21.2.2 所 需要 的 软件 以 及 软件 结构 
o 21.2.3 vsftpd.conf 设 定 值 说 明 
o 21.2.4 vsftpd 启动 的 模式 
o 21.2.5 CentOS 的 vsftpd 默认 值 : 使 用 本 地 端 时 间 
o 21.2.6 针对 实体 账号 的 设 定 : SELinux, chroot, 限制 带宽 , 最 大 上 线 人 数 , 可 用 账号 


列表 
o 21.2.7 仅 有 匿名 登录 的 相关 设 定 : 匿名 的 根 , 可 上 传 下 载 , 仅 可 上 传 , 被 动 式 联机 夫 
C2 


o 21.2.8 防火 墙 设 定 
o 21.2.9 常见 问题 与 解决 之 道 
。 21.3 客户 端的 图 形 接口 FTP 联机 软件 
o 21.3.1 Filezilla 
o 21.3.2 选 过 浏览 器 取得 FTP 联机 
21.4 让 vsftpd 增加 SSL 的 加 密 功 能 
e 21.5 重点 回顾 
e 21.6 本 章 习题 
21.7 参考 数据 与 延伸 阅读 
21.8 针对 本 文 的 建议 : http:/phorum.vbird.org/viewtopic.php?p=118520 
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21.1 FTP 的 数据 链 路 原理 


FTP (File transfer protocol) 是 相当 古老 的 传输 协议 之 一 ， 他 最 主要 的 功能 是 在 服务 器 与 客户 

端 之 间 进 行 档案 的 传输 。 这 个 古老 的 协议 使 用 的 是 明码 传输 方式 ， 且 过 去 有 相当 多 的 安全 危 
机 历史 。 为 了 更 安全 的 使 用 FTP 协议 ， 我 们 主要 介绍 较为 安全 但 功能 较 少 的 vsftpd 这 个 软件 
内 0 


2.1.1 FTP 功能 简介 


FTP 服务 器 的 功能 除了 单纯 的 进行 档案 的 传输 与 管理 之 外 ， 依 据 服 务 器 软件 的 设 定 架 构 ， 它 
还 可 以 提供 几 个 主要 的 功能 。 底下 我 们 约略 的 来 谈 一 谈 : 


e。 不 同等 级 的 用 户 身 份 : user guest, anonymous 


FTP 服务 器 在 预 设 的 情况 下 ， 依 据 使 用 者 登入 的 情况 而 分 为 三 种 不 同 的 身份 ， 分 别 是 : (1) 实 
体 账号 ,real user ; (2) 访 客 , guest ; (3) 匿 名 登录 者 , anonymous 这 三 种 。 这 三 种 身份 的 用 户 在 
系统 上 面 的 权限 差异 很 大 喔 ! 例如 实体 用 户 取 得 系统 的 权限 比较 完整 ， 所 以 可 以 进行 比较 多 

的 动作 ; 至 于 匿名 登录 者 ， 大 概 我 们 就 仅 提供 他 下 载 资 源 的 能 力 而 已 ， 并 不 许 匿 名 者 使 用 太 

多 主机 的 资源 啊 ! 当然 ， 这 三 种 人 物 能 够 使 用 的 『 在 线 指 令 」 自然 也 就 不 相同 嚼 上 人 人 ^ 


。 命令 记录 与 登录 文件 记录 : 


FTP 可 以 利用 系统 的 syslogd 来 进行 数据 的 纪录 ， 而 记录 的 数据 报 括 了 用 户 曾经 下 达 过 的 命 
令 与 用 户 传输 数据 (传输 时 间 、 档 案 大 小 等 等 ) 的 纪录 呢 ! 所 以 你 可 以 很 轻松 的 在 /var/log/ 里 
面 找到 各 项 登录 信息 喔 ! 


e 限制 用 户 活动 的 目录 : (change root, 简称 chroot) 


为 了 避免 用 户 在 你 的 Linux 系统 当中 随意 考 大 街 ( 意 指 离开 用 户 自己 的 家 目录 而 进入 到 Linux 
系统 的 其 他 目录 去 )， 所 以 将 使 用 者 的 工作 范围 『 局 限 」 在 用 户 的 家 目录 底下 ， 嘿 ! 实在 是 个 
不 错 的 好 主意 ! FTP 可 以 限制 用 户 仅 能 在 自己 的 家 目录 当中 活动 喔 ! 如 此 一 来 ， 由 于 使 用 者 
无 法 离开 自己 的 家 目录 ， 而 且 登 入 FTP 后， 显示 的 『 根 目录 了 就 是 自己 家 目录 的 内 容 ， 这 种 
环境 称 之 为 change root ， 简 称 chroot ， 改 变 根 目 录 的 意思 啦 ! 


这 有 什么 好 处 呢 ? 当 一 个 恶意 的 使 用 者 以 FTP 登入 你 的 系统 当中 ， 如 果 没 有 chroot 的 环境 
下 ， 他 可 以 到 /etc, /usr/local, /home 等 其 他 重要 目录 底下 去 察看 档案 数据 ， 尤 其 是 很 重要 的 
/etc/ 底下 的 配置 文件 ， 如 /etc/passwd 等 等 。 如 果 你 没有 做 好 一 些 档案 权限 的 管理 与 保护 ， 
那 他 就 有 办 法 取得 系统 的 某 些 重要 信息 ， 用 来 了 入 侵 J 你 的 系统 呢 ! 所 以 在 chroot 的 环境 
下 ， 当 然 就 比较 安全 一 些 咯 ! 


21.1.2 FTP 的 运作 流程 与 使 用 到 的 端口 


FTP 的 传输 使 用 的 是 TCP 封包 协议 ， 在 第 二 章 网 络 基 础 中 我 们 谈 过 ，TCP 在 建立 联机 前 会 
先进 行 三 向 交 握 。 不 过 FTP 服务 器 是 比较 麻烦 一 些 ， 因 为 FTP 服务 器 使 用 了 两 个 联机 ， 分 别 
是 命令 信道 与 数据 流通 道 (ftp-data) 。 这 两 个 联机 都 需要 经 过 三 向 交 握 ， 因 为 是 TCP 封包 
嘛 上 那么 这 两 个 联机 通道 的 关系 是 如 何 呢 ? 底下 我 们 先 以 FTP 预 设 的 主动 式 (active) 联机 来 
作 个 简略 的 说 明 哆 : 
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图 21.1-1、FTP 服务 器 的 主动 式 联机 示意 图 


简单 的 联机 流程 就 如 上 图 所 示 ， 至 于 联机 的 步骤 是 这 样 的 : 


1， 建 立 命令 通道 的 联机 如 上 图 所 示 ， 客 户 端 会 随机 取 一 个 大 于 1024 以 上 的 堆 口 (port AA) 
来 与 FTP 服务 器 端的 port 21 达成 联机 ， 这 个 过 程 当然 需要 三 向 交 握 了 ! 达成 联机 后 客 
户 端 便 可 以 透 过 这 个 联机 来 对 FTP 服务 器 下 达 指 令 ， 包 括 查询 档 名 、 下 载 、 上 传 等 等 指 


涛 过 这 
令 都 是 利用 这 个 通道 来 下 达 的 ; 


| 

2. 通知 FTP 服务 器 端 使 用 active 且 告 知 连 接 的 起 号 FTP 服务 器 的 21 堆 号 主要 用 在 命令 的 
下 达 ， 但 是 当 牵 涉 到 数据 流 时 ， 就 不 是 使 用 这 个 联机 了 。 客户 端 在 需要 数据 的 情况 下 ， 
会 告知 服务 器 端 要 用 什么 方式 来 联机 ， 如 果 是 主动 式 (active) 联机 时 ， 客 户 端 会 先 随机 
启用 一 个 堆 口 (图 21.1-1 当中 的 port BB) ， 且 透 过 命令 通道 告知 FTP 服务 器 这 两 个 信 
息 ， 并 等 待 FTP 服务 器 的 联机 ; 


3，FTP 服务 器 『 主 动 」 向 客户 端 联机 FTP 服务 器 由 命令 通道 了 解 客户 端的 需求 后 ， 会 主动 
的 由 20 这 个 埠 号 向 客户 端的 port BB 联机 ， 这 个 联机 当然 也 会 经 过 三 向 交 握 啦 ! 此 时 
FTP 的 客户 端 与 服务 器 端 共 会 建立 两 条 联机 ， 分 别 用 在 命令 的 下 达 与 数据 的 传递 。 而 预 
设 FTP 服务 器 端 使 用 的 主动 联机 埠 号 就 是 port 20 鹃 ! 


如 此 一 来 则 成 功 的 建立 起 『 命 令 」 与 『 数 据 传输 」 两 个 信道 ! 不 过 ， 要 注意 的 是 ，『 数 据 传 
输 信道 1 是 在 有 数据 传输 的 行为 时 才 会 建立 的 通道 喔 1 并 不 是 一 开始 连接 到 FTP 服务 器 就 立 
刻 建立 的 通道 呢 | 留意 一 下 哆 | 


e。 主动 式 联机 使 用 到 的 埠 号 


利用 上 述 的 说 明 来 整理 一 下 FTP 服务 器 端 会 使 用 到 的 起 号 主要 有 : 


。 命令 通道 的 ftp (默认 为 port 21) 与 
e 数据 传输 的 ftp-data (默认 为 port 20) 。 


再 强调 一 次 ， 这 两 个 堆 口 的 工作 是 不 一 样 的 ， 而 且 ， 重 要 的 是 两 者 的 联机 发 起 端 是 不 一 样 

的 | 首先 port 21 主要 接受 来 自 客户 端的 主动 联机 ， 至 于 port 20 则 为 FTP 服务 器 主动 联机 至 

客户 端 呢 ! 这样 的 情况 在 服务 器 与 客户 端 两 者 同时 为 公共 IP (Public IP) 的 因特网 上 面 通常 没 

0 ， 不 过 ， 万 一 你 的 客户 端 是 在 防火 墙 后 端 或 者 是 NAT 服务 器 后 端 呢 ? 会 有 什 
么 问题 发 生 呢 ?底下 我 们 来 谈 一 谈 这 个 严重 的 问题 ! 


e 在 主动 联机 的 FTP 服务 器 与 客户 端 之 间 具 有 防火 墙 的 联机 问题 


回想 一 下 我 们 的 第 九 章 防火 墙 | 一 般 来 说 ， 很 多 的 局 域 网 络 都 会 使 用 防火 墙 (iptables) 的 
NAT 功能 ， 那 么 在 NAT 后 端的 FTP 用 户 如 何 连接 到 FTP 服务 器 呢 ? 我 们 可 以 简单 的 以 下 图 
来 说 明 : 
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| 


务 器 端 联机 中 间 具 有 防火 墙 的 联机 状态 


图 21.1-2、FTP 客户 端 与 服 


1. 用 户 D0 令 信 道 US 因 
而 由 于 命令 信道 的 建立 是 由 客户 端 向 
起 来 的 ; 


为 NAT 会 主动 的 记录 由 内 部 送 往外 部 的 联机 信息 
服务 加 加 联机 的 ， 因 此 这 一 条 联机 可 以 顺利 


2.， 用户 与 服务 器 间 数 据 信道 建立 时 的 通知 : 同样 的 ， 客 户 端 主机 会 先 启 用 port BB ， 并 透 
过 命令 通道 告知 FTP 服务 器 ， 且 等 待 服务 器 端的 主动 联机 ; 


3， 服务 器 主动 连 到 NAT 等 待 转 递 至 客户 端的 联机 问题 ; 但 是 由 于 透 过 NAT 的 转换 后 ， 
FTP 服务 器 只 能 得 知 NAT 的 IP 而 不 是 客户 端的 IP ， 因 此 FTP 服务 器 会 以 port 20 主动 
的 向 NAT 的 port BB 发 送 主动 联机 的 要 求 。 但 你 的 NAT 并 没有 启动 port BB 来 监听 
FTP 服务 器 的 联机 啊 ! 


了 解 问题 的 所 在 了 吗 ? 在 FTP 的 主动 式 联机 当中 ，NAT 将 会 被 视 为 客户 端 ， 但 NAT 其 实 并 
非 客户 端 啊 ， 这 就 造成 问题 了 。 如 果 你 曾经 在 IP 分 享 器 后 面 连接 某 些 FTP 服务 器 时 ， 可 能 
偶尔 会 发 现 明明 就 连接 上 FTP 服务 器 了 (命令 通道 已 建立 )， 但 是 就 是 无 法 取得 文件 名 的 列 


表 ， 而 是 在 超过 一 段 时 间 后 显示 『 Can't build data connection: Connection refused， 无 法 进 
行 数据 传输 」 之 类 的 讯息 ， 那 肯定 就 是 这 个 原因 所 造成 的 困扰 了 。 


那 有 没有 办 法 可 以 克服 这 个 问题 呢 ? 难道 点 的 在 Linux NAT 后 面 就 一 定 无 法 使 用 FTP 吗 ? 当 
然 不 是 ! 目前 有 两 个 简易 的 方法 可 以 克服 这 个 问题 : 


e 使 用 iptables 所 提供 的 FTP 侦 测 模块 : 


其 实 iptables 早 就 提供 了 许多 好 用 的 模块 了 ， 这 个 FTP 当然 不 会 被 错过 ! 你 可 以 使 用 
modprobe 这 个 指令 来 加 载 ijpconntrack_ftp 及 jp_nat ftp 等 模块 ， 这 几 个 模块 会 主动 的 
分 析 『 目标 是 port 21 的 联机 本 信息 ， 所 以 可 以 得 到 port BB 的 资料 ， 此 时 若 接受 到 
FTP 服务 器 的 主动 联机 ， 就 能 够 将 该 封包 导向 正确 的 后 端 主机 了 | 人 


不 过 ， 如 果 你 链接 的 目标 FTP 服务 器 他 的 命令 通道 默认 端口 号 并 非 标准 的 21 堆 号 时 ( 例 
如 某 些 地 下 FTP 服务 器 )， 那 么 这 两 个 模块 就 无 法 顺利 解析 出 来 了 ， 这 样 说 ， 理 解 吗 ? 


。 客户 端 选择 被 动 式 (Passive) 联机 模式 : 


除了 主动 式 联机 之 外 ，FTP 还 提供 一 种 称 为 被 动 式 联机 的 模式 ， 什 么 是 被 动 式 呢 ? 既然 
主动 式 是 由 服务 器 向 客户 端 联机 ， 反 过 来 讲 ， 被 动 式 就 是 由 客户 端 向 服务 器 端 发 起 联机 
的 史 ! 既然 是 由 客户 端 发 起 联机 的 ， 那 自然 就 不 需要 考虑 来 自 port 20 的 联机 啦 ! 关于 
被 动 式 联机 模式 将 在 下 一 小 节 介 绍 喔 ! 


21.1.3 客户 端 选择 被 动 式 联机 模式 


那么 什么 是 被 动 式 联机 呢 ? 我 们 可 以 使 用 底下 的 图 示 来 作 个 简略 的 介绍 嘱 : 


Port AA 


Port AA 


Port AA 
Port BB 





图 21.1-3、FTP 的 被 动 式 数据 流 联机 流程 


1， 用 户 与 服务 器 建立 命令 信道 : 同样 的 需要 建立 命令 通道 ， 透 过 三 向 交 握 就 可 以 建立 起 这 


2.， 客户 端 发 出 PASYV 的 联机 要 求 : 当 有 使 用 数据 信道 的 指令 时 ， 客 户 端 可 透 过 命令 通道 发 
出 PASV 的 被 动 式 联机 要 求 (Passive 的 缩写 )， 并 等 待 服务 器 的 回应 ; 


3，FTP 服务 器 启动 数据 端口 ， 并 通知 客户 端 联机 : 如 果 你 的 FTP 服务 器 是 能 够 处 理 被 动 式 
联机 的 ， 此 时 FTP 服务 器 会 先 启动 一 个 堆 口 在 监听 。 这 个 端口 号 码 可 能 是 随机 的 ， 也 可 
以 自 定义 某 一 范围 的 埠 口 ， 端 看 你 的 FTP 服务 器 软件 而 定 。 然后 你 的 FTP 服务 器 会 透 
过 命令 通道 告知 客户 端 该 已 经 启动 的 者 口 (图 中 的 port PASV)， 并 等 待 客 户 端的 联机 。 


4， 客 户 端 随机 取 用 大 于 1024 的 堆 口 进行 连接 : 然后 你 的 客户 端 会 随机 取 用 一 个 大 于 1024 
Ai jd 如 果 一 切 都 顺利 的 话 ， 那 么 你 的 FTP 数据 就 可 以 
透 过 port BB 及 port PASV 来 传送 了 


发 现 上 面 的 不 同 点 了 吗 ? 被动式 FTP 数据 信道 的 联机 方向 是 由 客户 端 向 服务 器 端 联机 的 喔 ! 

如 此 一 来 ， 在 NAT 内 部 的 客户 端 主机 就 可 以 顺利 的 连接 上 FTP Server 了 ! 但 是 ， 万 一 FTP 
主机 也 是 在 NAT 后 端 那 怎么 办 ... 呵 呵 ! 那 可 就 煌 了 吧 ~ @ @ 这 里 就 牵涉 到 更 深入 的 DMZ 技 
巧 了 ， 我 们 这 里 暂 不 介绍 这 些 深 入 的 技巧 ， 先 理解 一 下 这 些 特殊 的 联机 方向 ， 这 将 有 助 于 你 
未 来 服务 器 架设 时 候 的 考虑 因素 喔 ! 


此 外 ， 不 晓得 你 有 无 发 现 ， 透 过 PASV 模式 ， 服 务 器 在 没有 特别 设 定 的 情况 下 ， 会 随机 选取 
大 于 1024 的 埠 口 来 提供 客户 端 连接 之 用 。 那 么 万 一 服务 器 启用 的 堆 口 被 搞鬼 怎么 办 ?而 且 ， 
如 此 一 来 也 很 难 追踪 来 自 入 侵 者 攻击 的 登录 信息 啊 1 所 以 ， 这 个 时 候 我 们 可 以 透 过 passive 
ports 的 功能 来 了 限定 」 服务 器 启用 的 port number 喔 1! 


21.1.4 FTP 的 安全 性 问题 与 替代 方案 


人 ， 在 FTP 上 面 传送 的 数据 很 可 能 被 窃取 ， 因 为 FTP 是 明码 传输 的 嘛 ! 而 且 某 些 FTP 服 
器 软件 的 资 安 历史 问题 也 是 很 严重 的 。 因此， 一 般 来 说 ， 除 非 是 学 校 或 者 是 一 些 社团 单位 
En 或 授权 问题 的 资料 之 外 ，FTP 是 少 用 为 妙 的 。 


SSH 所 赐 ， 目 前 我 们 已 经 有 较为 安全 的 FTP 了 ， 那 就 是 ssh 提供 的 sftp 这 个 server 啊 ! 

个 sftp-server 最 大 的 优点 就 是 : 『 在 上 面 传输 的 数据 是 经 过 加 密 的 1 ! 所 以 在 因特网 上 面 
流窜 的 时 候 ， 嘿 嘿 上 毕竟 是 比较 安全 一 些 啦 ! 所 以 建议 你 ， 除 非 必要 ， 否 则 的 话 使 用 SSH 提 
供 的 sftp-server 功能 即 可 一 


然而 这 个 功能 对 于 一 些 习 惯 了 图 形 接口 ， 或 者 是 有 中 文档 名 的 使 用 者 来 说 ， 实 在 是 不 怎么 方 
便 ， 虽 说 目前 有 个 图 形 接口 的 filezilla 客户 端 软 件 ， 不 过 很 多 时 候 还 是 会 发 生 一 些 英名 的 问题 
说 ! 所 以 ， 有 的 时 候 FTP 网 站 还 是 有 其 存在 的 需要 的 。 如 果 监 的 要 架设 FTP 网 站 ， 那 么 还 
是 得 需要 注意 几 个 事项 喔 : 


1， 随 时 更 新 到 最 新 版 本 的 FTP 软件 ， 并 随时 注意 漏洞 讯息 ; 
2.， 善 用 iptables 来 规定 可 以 使 用 FTP 的 网 域 ; 
3. 善 用 TCP_Wrappers 来 规范 可 以 登入 的 网 域 ; 


善 用 FTP 软件 的 设 定 来 限制 使 用 你 FTP 服务 器 的 使 用 者 的 不 同 权限 啊 ; 
使 用 Super daemon 来 进 阶 管理 你 的 FTP 服务 器 ; 

随时 注意 用 户 的 家 目录 、 以 及 匿名 用 户 登 入 的 目录 的 『 档 案 权 限 」 ; 
若 不 对 外 公开 的 话 ， 或 许 也 可 以 修改 FTP 的 port 。 

也 可 以 使 用 FTPs 这 种 加 密 的 FTP 功能 ! 


9 9D 人 


无 论 如 何 ， 在 网 络 上 听 过 太 多 人 都 是 由 于 开放 FTP 这 个 服务 器 而 导致 整个 主机 被 入 侵 的 事 
件 ， 所 以 ， 这 里 站 的 要 给 他 一 直 不 断 的 强调 ， 要 注意 安全 啊 ! 


21.1.5 开放 什么 身份 的 使 用 者 登入 


既然 FTP 是 以 明码 传输 ， 并 且 某 些 早 期 的 FTP 服务 器 软件 也 有 不 少 的 安全 漏洞 ， 那 又 为 何 需 
要 架设 FTP 服务 器 啊 ? 没 办 法 啊 ， 总 是 有 人 有 需要 这 个 玩意 儿 的 ， 壁 如 说 各 大 专 院 校 不 就 有 
提供 FTP 网 站 的 服务 吗 ? 这 样 可 以 让 校内 的 同学 共 后 人 ! 不 过 ， 由 于 
FTP 登入 者 的 身份 可 以 分 为 三 种 ， 你 到 底 要 开放 哪 一 种 身份 登入 呢 ? 这 个 时 候 你 可 以 这 样 简 
单 的 思考 一 下 虽 : 


e。 开放 实体 用 户 的 情况 (Real user) : 


很 多 的 FTP 服务 器 默认 就 已 经 允许 实体 用 户 的 登入 了 。 不 过 ， 需 要 了 解 的 是 ， 以 实体 用 户 做 
为 FTP 登入 者 身份 时 ， 系 统 默 认 并 没有 针对 实体 用 户 来 进行 了 限制 」 的， 所 以 他 可 以 针对 整 
个 文件 系统 进行 任何 他 所 具有 权限 的 工作 。 因此 ， 如 果 你 的 FTP 使 用 者 没 能 好 好 的 保护 自己 
的 密码 而 导致 被 入 侵 ， 那 么 你 的 整个 Linux 系统 数据 将 很 有 可 能 被 窃取 啊 ! 开放 实体 用 户 时 
的 建议 如 下 : 


。 使 用 替代 的 FTP 方案 较 佳 : 由 于 实体 用 户 本 来 就 可 以 透 过 网 络 连 接 到 主机 来 进行 工作 
(例如 SSH)， 因 此 实在 没有 需要 特别 的 开放 FTP 的 服务 啊 ! 因为 例如 sftp 本 来 就 能 达到 
传输 档案 的 功能 史 | 


限制 用 户 能 力 ， 如 chroot 与 /sbin/nologin 等 : 如 果 确 定 要 让 实体 用 户 利用 FTP 服务 器 
的 话 ， 那 么 你 可 能 需要 让 某 些 系 统 账号 无 法 登入 FTP 才 行 ， 例 如 bin, apache 等 等 。 最 
简单 常用 的 作法 是 透 过 PAM 模块 来 处 理 ， 壁 如 vsftpd 这 个 软件 默认 可 以 透 过 
/etc/vsftpd/ftpusers 这 个 档案 来 设 定 不 想 让 他 具有 登入 FTP 的 账号 。 另 外 ， 将 使 用 者 身 
份 chroot 是 相当 需要 的 ! 


。 访客 身份 (Guest) 


常会 建立 guest 身份 的 案例 当中 ， 多 半 是 由 于 服务 器 提供 了 类 似 『 个 人 Web 首页 」 的 功能 
一 般 身 份 用 户 ， 那么 这 些 使 用 者 总 是 需要 管理 自己 的 网 页 空间 吧 ? 这 个 时 候 将 使 用 者 的 身 
人 guest ， 并 且 将 他 的 可 用 目录 设 定好 ， 即 可 提供 使 用 者 一 个 方便 的 使 用 环境 了 | 
且 不 需要 提供 他 real user 的 权限 喔 1 常见 的 建议 如 下 : 


e。 仅 提供 需要 登入 的 账号 即 可 ， 不 需要 提供 系统 上 面 所 有 人 均 可 登入 的 环境 啊 ! 


e 当然 ， 我 们 在 服务 器 的 设 定 当中 ， 需 要 针对 不 同 的 访客 给 他 们 不 一 样 的 『 家 目录 」 ， 而 
这 个 家 目录 与 用 户 的 权限 设 定 需 要 相符 合 喔 ! 例如 要 提供 dmtsai 这 个 人 管理 他 的 网 页 空 
间 ， 而 他 的 网 页 空间 放置 在 /home/dmtsai/www 底下 ， 那 我 就 将 dmtsai 在 FTP 提供 的 目 


录 仅 有 /home/dmtsai/www 而 已 ， 比 较 安 全 啦 | 而 且 也 方便 使 用 者 啊 ! 


。 针对 这 样 的 身份 者 ， 需 要 设 定 较 多 的 限制 ， 包 括 : 上 下 传 档案 数目 与 硬盘 容量 的 限制 、 
联机 登入 的 时 间 限 制 、 许 可 使 用 的 指令 要 减少 很 多 很 多 ， 例 如 chmod 就 不 要 允许 他 使 用 


和 大 和 和 


等 等 ! 
e 匿名 登录 使 用 者 (anonymous) 


虽然 提供 匿名 登录 给 因特网 的 使 用 者 进入 实在 不 是 个 好 主意 ， 因 为 每 个 人 都 可 以 去 下 载 你 的 

数据 ， 万 一 带宽 被 吃 光 光 怎 么 办 ?但 如 同 前 面 讲 过 的 ， 学 校 单位 需要 分 享 全 校 同学 一 些 软件 

资源 时 ，FTP 服务 器 也 是 一 个 很 不 错 的 解决 方案 啊 ! 你 说 是 吧 。 如 果 要 开放 匿名 用 户 的 话 ， 

要 注意 : 

e 无 论 如 何 ， 提 供 匿 名 登录 都 是 一 件 相 当 危 险 的 事情 ， 因 为 只 要 你 一 不 小 心 ， 将 重要 的 资 
料 放 置 到 匿名 者 可 以 读 取 的 目录 中 时 ， 那 么 就 很 有 可 能 会 泄密 ! 与 其 战 战 殉 顽 ， 不 如 就 
不 要 设 定 啊 ~- 


。 有 果 要 开放 匿名 登录 时 ， 很 多 限制 都 要 进行 的 ， 这 包括 : (1) 允 许 的 工作 指令 要 减低 很 
多 ， 几 乎 就 不 许 匿 名 者 使 用 指令 啦 、(2) 限 制 文件 传输 的 数量 ， 尽 量 不 要 允许 『 上 传 了 数 
据 的 设 定 、(3) 限 制 匿名 者 同时 登入 的 最 大 联机 数量 ， 可 以 控制 盗 连 喔 ! 


一 般 来 说 ， 如 果 你 是 要 放置 一 些 公 开 的 、 没 有 版 权 纠 纷 的 数据 在 网 络 上 供 人 下 载 的 话 ， 那 么 

一 个 仅 提供 匿名 登录 的 FTP 服务 器 ， 并 且 对 整个 因特网 开放 是 OK 的 啦 ! 不 过 ， 如 果 你 预计 
要 提供 的 的 软件 或 数据 是 具有 版 权 的 ， 但 是 该 版 权 允 许 你 在 贵 单 位 内 传输 的 情况 下 ， 那 么 架 

设 一 个 『 仅 针对 内 部 开放 的 匿名 FTP 服务 器 (利用 防火 墙 处 理 ) 」 也 是 OK 的 啦 ! 


如 果 你 还 想 要 证 使 用 者 反馈 的 话 ， 那 是 否 要 架设 一 个 匿名 者 可 上 传 的 区 域 呢 ? 乌 哥 对 这 件 事 
情 的 看 法 是 .... 『 万 万 不 可 J 啊 ! 如 果 要 让 使 用 者 反馈 的 话 ， 除 非 该 使 用 者 是 你 信任 的 ， 否 则 
不 要 允许 对 方 上 传 | 所 以 此 时 一 个 文件 系统 权限 管理 严格 的 FTP 服务 器 ， 并 提供 实体 用 户 的 
登入 就 有 点 需求 啦 ! 总 之 ， 要 依照 你 的 需求 来 思考 是 否 有 需要 喔 ! 


21.2 vsftpd 服务 器 基础 设 定 


终于 要 来 聊 一 聊 这 个 简单 的 vsftpd " 罗 ! vsftpd 的 全 名 是 『Very Secure FTP Daemon J 的 意 
思 ， 换 名 话说 ，vsftpd 最 初 发 展 的 理念 就 是 在 建构 一 个 以 安全 为 重 的 FTP 服务 器 呢 ! 我 们 先 
来 聊 一 聊 为 什么 vsftpd 号 称 『 非 常安 全 」 呢 ?然后 再 来 谈 设 定 吧 ! 


21.2.1 为 何 使 用 vsftpd 


为 了 建构 一 个 安全 为 主 的 FTP 服务 器 ，vsftpd 针对 操作 系统 的 『 程 序 的 权限 (privilege)J 概 
念 来 设计 ， 如 果 你 读 过 基础 篇 的 十 七 章程 序 与 资源 管理 的 话 ， 应 该 会 晓得 系统 上 面 所 执行 的 
程序 都 会 引发 一 个 程序 ， 我 们 称 他 为 PID (Process ID)， 这 个 PID 在 系统 上 面 能 进行 的 任务 
与 他 拥有 的 权限 有 关 。 也 就 是 说 ，PID 拥有 的 权限 等 级 越 高 ， 他 能 够 进行 的 任务 就 越 多 。 举 
例 来 说 ， 使 用 root 身份 所 触发 的 PID 通常 拥有 可 以 进行 任何 工作 的 权限 等 级 。 


不 过 ， 万 一 触发 这 个 PID 的 程序 (program) 有 漏洞 而 寻 致 被 网 络 怪 客 (cracker) 所 攻击 而 取得 
此 PID 使 用 权时 ， 那 么 网 络 怪 客 将 会 取得 这 个 PID 拥有 的 权限 呐 ! 所 以 ， 近 来 发 展 的 软件 都 
会 尽量 的 将 服务 取得 的 PID 权限 降低 ， 使 得 该 服务 即使 不 小 心 被 入 侵 了 ， 入 侵 者 也 无 法 得 到 

有 效 的 系统 管理 权限 ， 这 样 会 让 我 们 的 系统 较为 安全 的 啦 。 vsftpd 就 是 基于 这 种 想法 而 设计 

的 。 


除了 PID 方面 的 权限 之 外 ，vsftpd 也 支持 chroot 这 个 防 式 的 功能 ，chroot 顾名思义 就 是 『 
change root directory 4 的 意思 ， 那 个 root 指 的 是 『 根 目录 J 而 非 系统 管理 员 。 他 可 以 将 某 
个 特定 的 目录 变 成 根 目 录 ， 所 以 与 该 目录 没有 关系 的 其 他 目录 就 不 会 被 误 用 了 。 


举例 来 说 ， 如 果 你 以 匿名 身份 登入 我 们 的 ftp 服务 的 话 ， 通 常 你 会 被 限定 在 /var/ftp 目录 下 工 
作 ， 而 你 看 到 的 根 目录 其 实 就 只 是 /var/ftp ， 至 于 系统 其 他 如 /etc, /home, /usr... 等 其 他 目录 
你 就 看 不 到 了 ! 这 样 一 来 即使 这 个 ftp 服务 被 攻破 了 ， 没 有 关系 ， 入 侵 者 还 是 仅 能 在 Nar/ftp 
里 面 跑 来 跑 去 而 已 ， 而 无 法 使 用 Linux 的 完整 功能 。 自 然 我 们 的 系统 也 就 会 比较 安全 啦 |! 


vsftpd 是 基于 上 面 的 说 明 来 设计 的 一 个 较为 安全 的 FTP 服务 器 软件 ， 他 具有 底下 的 特点 喔 : 


e Vsftpd 这 个 服务 的 启动 者 身份 为 一 般 用 户 ， 所 以 对 于 Linux 系统 的 权限 较 低 ， 对 于 Linux 
系统 的 危害 就 相对 的 减低 了 。 此 外 ，vsftpd 亦 利 用 chroot() 这 个 元 式 进行 改换 根 目录 的 
动作 ， 使 得 系统 工具 不 会 被 vsftpd 这 支 服务 所 误 用 ; 


。 任何 需要 具有 和 较 高 执行 权限 的 vsftpd 指令 均 以 一 支 特殊 的 上 层 程序 所 控制 ， 该 上 层 程 序 
享有 的 较 高 执行 权限 功能 已 经 被 限制 的 相当 的 低 ， 并 以 不 影响 Linux 本 身 的 系统 为 准 ; 


。 绝 大 部 分 ftp 会 使 用 到 的 额外 指令 功能 (dir, ls, cd ...) 都 已 经 被 整合 到 vsftpd 主 程序 当中 
了 ， 因 此 理论 上 vsftpd 不 需要 使 用 到 额外 的 系统 提供 的 指令 ， 所 以 在 chroot 的 情况 下 ， 
vsftpd 不 但 可 以 顺利 运作 ， 且 不 需要 额外 功能 对 于 系统 来 说 也 比较 安全 。 


e。 所 有 来 自 客户 端 且 想 要 使 用 这 支 上 层 程序 所 提供 的 较 高 执行 权限 之 vsftpd 指令 的 需求 ， 
均 被 视 为 『 不 可 信任 的 要 求 」 来 处 理 ， 必 需要 经 过 相当 程度 的 身份 确认 后 ， 方 可 利用 该 
上 层 程序 的 功能 。 例 如 chown(), Login 的 要 求 等 等 动作 ; 


。 此 外 ， 上 面 提 到 的 上 层 程序 中 ， 依 然 使 用 chroot() 的 功能 来 限制 用 户 的 执行 权限 。 


由 于 具有 这 样 的 特点 ， 所 以 vsftpd 会 变 的 比较 安全 一 些 咯 ! 底下 就 开始 来 谈 如 何 设 定 吧 ! 


21.2.2 所 需要 的 软件 以 及 软件 结构 


vsftpd 所 需要 的 软件 只 有 一 个 ， 那 就 是 vsftpd 啊 1^A ^! 如 果 你 的 CentOS 没有 安装 ， 请 利用 
yum install vsftpd 来 安装 他 吧 ! 软件 很 小 ， 下 载 连 同安 装 不 需要 几 秒 钟 就 搞定 了 | 而 事实 上 

整个 软件 提供 的 配置 文件 也 少 的 令 人 高 兴 ! 简单 易 用 就 是 vsftpd 的 特色 啊 ! 这 些 设 定数 据 比 
较 重要 的 有 : 


。 /etc/vsftpd/vsftpd.conf 严格 来 说 ， 整 个 vsftpd 的 配置 文件 就 只 有 这 个 档案 ! 这 个 档案 的 
设 定 是 以 bash 的 变量 设 定 相 同 的 方式 来 处 理 的 ， 也 就 是 『 参 数 = 设 定 值 」 来 设 定 的 ， 注 
意 ， 等 号 两 边 不 能 有 空白 喔 ! 至 于 详细 的 vsftpd.conf 可 以 使 用 『 man 5 vsftpd.conf J 
来 详 查 。 

。 /etc/pam.d/vsftpd 这 个 是 vsftpd 使 用 PAM 模块 时 的 相关 配置 文件 。 主 要 用 来 作为 身份 认 
证 之 用 ， 还 有 一 些 用 户 身 份 的 抵挡 功能 ， 也 是 透 过 这 个 档案 来 达成 的 。 你 可 以 察看 一 下 
该 档案 : 


[root@www ~]# cat /etc/pam.d/vsftpd 
#%PAM-1.0 


session optional pam_ keyinit.so force revoke 

&lt;u&gt;auth required pam listfile.so item=user sense=deny file=/etc/vsftpd/ftpu: 
auth required pam_shells.so 

auth include password-auth 


account include password-auth 
session required pam loginuid.so 
session include password-auth 


EU 


上 面 那 个 file 后 面 接 的 档案 是 『 限 制 使 用 者 无 法 使 用 vsftpd 4 之 意 ， 也 就 是 说 ， 其 实 你 
的 限制 档案 不 见得 要 使 用 系统 默认 值 ， 也 可 以 在 这 个 档案 里 面 进行 修改 啦 | ^ 人 和 ^ 





e /etc/vsftpd/ftpusers 与 上 一 个 档案 有 关系 ， 也 就 是 PAM 模块 (/etc/pam.d/vsftpd) 所 指定 
的 那个 无 法 登入 的 用 户 配 置 文件 啊 ! 这 个 档案 的 设 定 很 简单 ， 你 只 要 将 『 不 想 让 他 登入 
FTP 的 账号 」 写 入 这 个 档案 即 可 。 一 行 一 个 账号 ， 看 起 来 像 这 样 : 


[root@www ~]# cat /etc/vsftpd/ftpusers 

# Users that are not allowed to login via ftp 
root 

bin 

daemon 


ol 


瞧见 没有 ? 绝 大 部 分 的 系统 账号 都 在 这 个 档案 内 喔 ， 也 就 是 说 ， 系 统 账 号 默认 是 没有 办 
法 使 用 vsftpd 的 啦 ! 如 果 你 还 想 要 让 某 些 使 用 者 无 法 登入 ， 写 在 这 里 是 最 快 的 |! 


。 /etc/vsftpd/user list 这 个 档案 是 否 能 够 生效 与 vsftpd.conf 内 的 两 个 参数 有 关 ， 分 别 是 『 
userlist_enable, userlist_deny 4 。 如 果 说 /etc/vsftpd/ftpusers 是 PAM 模块 的 抵挡 设 定 
项 目 ， 那 么 这 个 /etc/vsftpd/user list 则 是 vsftpd 自 定义 的 抵挡 项 目 。 事 实 上 这 个 档案 与 
/etc/vsftpd/ftpusers 几乎 一 模 一 样 ， 在 预 设 的 情况 下 ， 你 可 以 将 不 希望 可 登入 vsftpd 的 
账号 写 入 这 里 。 不 过 这 个 档案 的 功能 会 依据 vsftpd.conf 配置 文件 内 的 userlist _deny= 
{YES/NO} 而 不 同 ， 这 得 要 特别 留意 喔 ! 


。 /etc/vsftpd/chroot_ list 这 个 档案 预 设 是 不 存在 的 ， 所 以 你 必须 要 手动 自行 建立 。 这 个 档案 
的 主要 功能 是 可 以 将 某 些 账号 的 使 用 者 chroot 在 他 们 的 家 目录 下 ! 但 这 个 档案 要 生效 与 
vsftpd.conf 内 的 『 chroot list enable, chroot list_ file 4 两 个 参数 有 关 。 如 果 你 想 要 将 
某 些 实体 用 户 限制 在 他 们 的 家 目录 下 而 不 许 到 其 他 目录 去 ， 可 以 启动 这 个 设 定 项 目 喔 ! 


e。 /usr/sbin/vsftpd 这 就 是 vsftpd 的 主要 执行 档 咯 ! 不 要 怀疑 ，vsftpd 只 有 这 一 个 执行 档 而 
已 啊 | 


。 /var/ftp/ 这 个 是 vsftpd 的 预 设 匿名 者 登入 的 根 目 录 喔 ! 其 实 与 ftp 这 个 账号 的 家 目录 有 关 
啦 ! 


大 致 上 就 只 有 这 几 个 档案 需要 注意 而 已 ， 而 且 每 个 档案 的 设 定 又 都 很 简单 ! 章 是 不 错 啊 ! 


21.2.3 vsftpd.conf 设 定 值 说 明 


事实 上 ，/etc/vsftpd/vsftpd.conf 本 身 就 是 一 个 挺 详细 的 配置 文件 ， 且 使 用 『 man 5 
conf 」 则 可 以 得 到 完整 的 参数 说 明 。 不 过 我 们 这 里 依旧 先 将 vsftpd.conf 内 的 常用 参数 
写 出 来 ， 布 望 对 你 有 帮助 : 


@ 与 服务 ar 器 环 境 较 相 关 的 范 及 定 值 


。 connect from_port 20=YES (NO) 记得 在 前 一 小 节 提 到 的 主动 式 联机 使 用 的 FTP 服务 器 
的 port 吗 ? 这 就 是 ftp-data 的 埠 号 ; 


。 listen_port=21 vsftpd 使 用 的 命令 通道 port， 如 果 你 想 要 使 用 非 正规 的 埠 号 ， 在 这 个 设 定 
项 目 修改 吧 ! 不 过 We， ， 这 个 设 定 值 仅 适合 以 stand alone 的 方式 来 启动 喔 ! 
(对 于 super daemon 无 效 ) 


dirmessage_enable=YES (NO) 当 用 户 进 入 某 个 目录 时 ， 会 显示 该 目录 需要 注意 的 内 
容 ， 显 示 的 档案 默认 是 .message ， 你 可 以 使 用 底下 的 设 定 项 目 来 修订 ! 


message file=.message 当 dirmessage_enable=YES 时 ， 可 以 设 定 这 个 项 目 来 让 vsftpd 
寻找 该 档案 来 显示 讯息 ! 


listen=YES (NO) 若 设 定 为 YES 表示 vsftpd 是 以 standalone 的 方式 来 启动 的 |! 预 设 是 
NO 哆 ! 所 以 我 们 的 CentOS 将 它 改 为 YES 哩 1 这样 才能 使 用 stand alone 的 方式 来 唤 
醒 。 


pasv_enable=YES (NO) 支持 数据 流 的 被 动 式 联机 模式 (passive mode)， 一 定 要 设 定 为 
YES 的 啦 ! 


use_localtime=YES (NO) 是 否 使 用 本 地 时 间 ? vsftpd 预 设 使 用 GMT 时 间 ( 格 林 威 治 )， 所 
以 预 设 的 FTP 内 的 档案 日 期 会 比 台 湾 晚 8 小 时 ， 建 议 修改 设 定 为 YES 吧 ! 


write_enable=YES (NO) 如 果 你 允许 用 户 上 传 数据 时 ， 就 要 启动 这 个 设 定 值 ; 


connect_timeout=60 单位 是 秒 ， 在 数据 连接 的 主动 式 联 机 模式 下 ， 我 们 发 出 的 连接 讯号 
在 60 秒 内 得 不 到 客户 端的 响应 ， 则 不 等 待 并 强制 断 线 咯 。 


accept timeout=60 当 用 户 以 被 动 式 PASV 来 进行 数据 传输 时 ， 如 果 服 务 器 启用 passive 
port 并 等 待 client 超过 60 秒 而 无 回应 ， 那 么 就 给 他 强制 断 线 | 这 个 设 定 值 与 


connect_timeout 类 似 ， 不 过 一 个 是 管理 主动 联机 ， 一 个 管理 被 动 联机 。 


data_connection_timeout=300 如 果 服 务 器 与 客户 端的 数据 联机 已 经 成 功 建立 (不 论 主动 
还 是 被 动 联机 )， 但 是 可 能 由 于 线路 问题 导致 300 秒 内 还 是 无 法 顺利 的 完成 数据 的 传送 ， 
那 客户 端的 联机 就 会 被 我 们 的 vsftpd 强制 别 除 ! 


idle_session_ timeout=300 如 果 使 用 者 在 300 秒 内 都 没有 命令 动作 ， 强 制 脱 机 ! 避免 占 
着 茅 坑 不 拉 屎 ~ 


max_clients=0 如 果 vsftpd 是 以 stand alone 方式 启动 的 ， 那 么 这 个 设 定 项 目 可 以 设 定 同 
一 时 间 ， 最 多 有 多 少 client 可 以 同时 连 上 vsftpd 哩 ! 限制 使 用 FTP 的 用 量 ! 


max_per_ip=0 与 上 面 max_clients 类 似 ， 这 里 是 同一 个 IP 同一 时 间 可 允许 多 少 联机 ? 


pasv_min_port=0, pasv_max_port=0 上 面 两 个 是 与 passive mode 使 用 的 port number 
有 关 ， 如 果 你 想 要 使 用 65400 到 65410 这 11 个 port 来 进行 被 动 式 联机 模式 的 连接 ， 可 
以 这 样 设 定 pasv_max_port=65410 以 及 pasv_min_port=65400。 如 果 是 0 的 话 ， 表 示 
随机 取 用 而 不 限制 。 


ftpd_banner= 一 些 文字 说 明 当 使 用 者 联机 进入 到 vsftpd 时 ， 在 FTP 客户 端 软件 上 头 会 显 
示 的 说 明文 字 。 不 过 ， 这 个 设 定 值 数据 比较 少 啦 1 建议 你 可 以 使 用 底下 的 banner file 设 
定 值 来 取代 这 个 项 目 ; 


banner _file=/path/file 这 个 项 目 可 以 指定 某 个 纯 文本 档 作为 使 用 者 登入 vsftpd 服务 器 时 所 
显示 的 欢迎 字眼 。 同 时 ， 也 能 够 放置 一 些 让 使 用 者 知道 本 FTP 服务 器 的 目录 架构 ! 


与 实体 用 户 较 相关 的 设 定 什 


guest_enable=YES (NO) 若 这 个 值 设 定 为 YES 时 ， 那 么 任何 实体 账号 ， 均 会 被 假设 成 为 
guest 喔 (所 以 预 设 是 不 开放 的 ) ! 至 于 访客 在 vsftpd 当中 ， 预 设 会 取得 ftp 这 个 使 用 者 的 
相关 权限 。 但 可 以 透 过 guest_username 来 修改 。 


guest_username=ftp 在 guest_enable=YES 时 才 会 生效 ， 指 定 访客 的 身份 而 已 。 


local_enable=YES (NO) 这 个 设 定 值 必 须要 为 YES 时 ， 在 /etc/passwd 内 的 账号 才能 以 
实体 用 户 的 方式 登入 我 们 的 vsftpd 服务 器 喔 ! 


local_max_rate=0 实体 用 户 的 传输 速度 限制 ， 单 位 为 bytes/second ，0 为 不 限制 。 


chroot local_user=YES (NO) 在 预 设 的 情况 下 ， 是 否 要 将 使 用 者 限制 在 自己 的 家 目录 之 
内 (chroot)? 如 果 是 YES 代表 用 户 默认 就 会 被 chroot， 如 果 是 NO ， 则 预 设 是 没有 
chroot 。 不 过 ， 实 际 还 是 需要 底下 的 两 个 参数 互相 参考 才 行 。 为 了 安全 性 ， 这 里 应 该 要 设 
定 成 YES 才 好 。 


chroot list_enable=YES (NO) 是 否 启 用 chroot 写 入 列表 的 功能 ?与 底下 的 
chroot_list_flie 有 关 ! 这 个 项 目 得 要 开启 ， 否 则 底下 的 列表 档案 会 无 效 。 


chroot_list_file=/etc/vsftpd.chroot_list 如 果 chroot_list_enable=YES 那么 就 可 以 设 定 这 个 
项 目 了 | 这 个 项 目 与 chroot local _user 有关， 详细 的 设 定 状态 请 参考 21.2.6 chroot 的 说 
明 。 

userlist_enable=YES (NO) 是 否 藉 助 vsftpd 的 抵挡 机 制 来 处 理 某 些 不 受 欢 迎 的 账号 ， 与 
底下 的 参数 设 定 有 关 ; 


userlist_deny=YES (NO) 当 userlist_enable=YES 时 才 会 生效 的 设 定 ， 若 此 设 定 值 为 
YES 时 ， 则 当 使 用 者 账号 被 列 入 到 某 个 档案 时 ， 在 该 档案 内 的 使 用 者 将 无 法 登入 vsftpd 
服务 器 ! 该 档案 文件 名 与 下 列 设 定 项 目 有 关 。 


Userlist file=/etc/vsftpd/user list 若 上 面 usernlist deny=YES 时 ， 则 这 个 档案 就 有 用 处 
了 ! 在 这 个 档案 内 的 账号 都 无 法 使 用 vsftpd 哩 ! 
匿名 者 登入 的 设 定 值 


anonymous_enable=YES (NO) 设 定 为 允许 anonymous 登入 我 们 的 vsftpd 主机 ! 预 设 
是 YES ， 底 下 的 所 有 相关 设 定 都 需要 将 这 个 设 定 为 anonymous_enable=YES 之 后 才 会 
生效 ! 


anon_world_readable_only=YES (NO) 仅 允许 anonymous 具有 下 载 可 读 档 案 的 权限 ， 
预 设 是 YES。 


anon_other_ write_enable=YES (NO) 是 否 允 许 anonymous 具有 除了 写 入 之 外 的 权限 ? 
包括 删除 与 改写 服务 器 上 的 档案 及 档 名 等 权限 。 预 设 当 然 是 NO ! 如 果 要 设 定 为 YES ， 
那么 开放 给 anonymous 写 入 的 目录 亦 需要 调整 权限 ， 让 vsftpd 的 PID 拥有 者 可 以 写 入 
才 行 ! 


anon_mkdir_ write_enable=YES (NO) 是 否 让 anonymous 具有 建立 目录 的 权限 ?默认 值 
是 NO ! 如 果 要 设 定 为 YES ， 那 么 anony_other write _ enable 必须 设 定 为 YES | 


anon_upload_enable=YES (NO) 是 否 让 anonymous 具有 上 传 数据 的 功能 ， 默 认 是 
NO， 如 果 要 设 定 为 YES ， 则 anon_other_ write_enable=YES 必须 设 定 。 


deny_email_enable=YES (NO) 将 茶 些 特殊 的 email address 抵挡 住 ， 不 让 那些 
anonymous 登入 |! 如 果 以 anonymous 登入 服务 器 时 ， 不 是 会 要 求 输入 密码 吗 ? 密码 不 
是 要 你 输入 你 的 email address 吗 ? 如 果 你 很 讨厌 某 些 email address ， 就 可 以 使 用 这 个 
设 定 来 将 他 取消 登入 的 权限 ! 需 与 下 个 设 定 项 目 配合 : 


banned_email_file=/etc/vsftpd/banned_emails 如 果 deny_email enable=YES 时 ， 可 以 
利用 这 个 设 定 项 目 来 规定 哪个 email address 不 可 登入 我 们 的 vsftpd 喔 ! 在 上 面 设 定 的 
档案 内 ， 一 行 输入 一 个 email address 即 可 ! 


no_anon_password=YES (NO) 当 设 定 为 YES 时 ， 表 示 anonymous 将 会 略 过 密码 检验 
步骤 ， 而 直接 进入 vsftpd 服务 器 内 喔 ! 所 以 一 般 预 设 都 是 NO 的 ! (登入 时 会 检查 输入 的 
emali) 


anon_max_rate=0 这 个 设 定 值 后 面 接 的 数值 单位 为 bytes/ 秒 ， 限 制 anonymous 的 传输 
速度 ， 如 果 是 0 则 不 限制 (由 最 大 带宽 所 限制 )， 如 果 你 想 让 anonymous 仅 有 30 KB/s 的 
速度 ， 可 以 设 定 『anon_max_rate=30000J 


anon_umask=077 限制 anonymous 上 传 档案 的 权限 ! 如 果 是 077 则 anonymous 传送 过 
来 的 档案 权限 会 是 -rw------- 喔 | 

关于 系统 安全 方面 的 一 些 设 定 值 

ascii download_enable=YES (NO) 如 果 设 定 为 YES ， 那 么 client 就 优先 ( 预 设 ) 使 用 
ASCII 格式 下 载 文件 。 

ascii upload_enable=YES (NO) 与 上 一 个 设 定 类 似 的 ， 只 是 这 个 设 定 针 对 上 传 而 言 ! 预 
设 是 NO 

one_process_model=YES (NO) 这 个 设 定 项 目 比 较 危 险 一 点 一 当 设 定 为 YES 时， 表示 每 
个 建立 的 联机 都 会 拥有 一 支 process 在 负责 ， 可 以 增加 vsftpd 的 效能 。 不 过 ， 除非 你 的 
系统 比较 安全 ， 而 且 硬件 配备 比较 高 ， 否 则 容易 耗 尽 系统 资源 虽 ! 一 般 建 议 设 定 为 NO 
的 啦 ! 


tcp_wrappers=YES (NO) 当然 我 们 都 习惯 支持 TCP Wrappers 的 啦 ! 所 以 设 定 为 YES 
吧 | 


。 xferlog_enable=YES (NO) 当 设 定 为 YES 时 ， 使 用 者 上 传 与 下 载 文 件 都 会 被 纪录 起 来 。 
记录 的 档案 与 下 一 个 设 定 项 目 有 关 : 


。 0 a 如 果 上 一 个 xferlog_enable=YES 的 话 ， 这 里 就 可 以 设 定 
了 ! 这 个 是 登录 档 的 档 名 啦 ! 


。 xferlog_std_format=YES (NO) 是 否 设 定 为 wu ftp 相同 的 登录 档 格 式 ? 预 设 为 NO ， 因 为 
登录 档 会 比较 容易 读 ! 不 过 ， 如 果 你 有 使 用 wu ftp 登录 文件 的 分 析 软 件 ， 这 里 才 需 要 设 
定 为 YES 


。 dual log_enable=YES, vsftpd_log file=/var/log/vsftpd.log 除了 /var/log/xferlog 的 wu-ftp 
格式 登录 档 之 外 ， 还 可 以 具有 vsftpd 的 独特 登录 档 格 式 喔 ! 如 果 你 的 FTP 服务 器 并 不 是 
很 忙碌 ， 或 许 订 出 两 个 登录 档 的 撰写 (/var/log/{vsftpd.log,xferlog) 是 不 错 的 。 


。 nopriv_user=nobody 我 们 的 vsftpd 预 设 以 nobody 作为 此 一 服务 执行 者 的 权限 。 因 为 
nobody 的 权限 相当 的 低 ， 因 此 即使 被 入 侵 ， 入 侵 者 仅 能 取得 nobody 的 权限 喔 ! 


e Pom service_name=vsftpd 这 个 是 pam 模块 的 名 称 ， 我 们 放置 在 /etc/pam.d/vsftpd 即 是 
这 个 歇 吃 1 


上 面 这些 是 常见 的 vsftpd 的 设 定 参 数 ， 还 有 很 多 参数 我 没有 列 出 来 ， 你 可 以 使 用 man 5 
onf 查 ) 


vsftpd.co 阅 喔 ! 不 过 ， 基 本 上 上 面 这些 参 数 已 经 够 我 们 设 定 vsftpd 史 。 


21.2.4 vsftpd 启动 的 模式 


vsftpd 可 以 使 用 stand alone 或 super daemon 的 方式 来 启动 ， 我 们 CentOS 预 设 是 以 stand 
alone 来 启动 的 。 那 什么 时 候 应 该 选择 stand alone 或 者 是 super daemon 呢 ? 如 果 你 的 ftp 
服务 器 是 提供 给 整个 因特网 来 进行 大 量 下 载 的 任务 ， 例 如 各 大 专 院 校 的 FTP 服务 器 ， 那 建议 
你 使 用 stand alone 的 方式 ， 服 务 的 速度 上 会 比较 好 。 如 果 仅 是 提供 给 内 部 人 员 使 用 的 FTP 
服务 器 ， 那 使 用 super daemon 来 管理 即 可 啊 。 


利用 CentOS 提供 的 script 来 启动 vsftpd (stand alone) 


其 实 CentOS 不 用 作 任 何 设 定 就 能 够 启动 vsftpd 哆 ! 是 这 样 局 动 的 啦 : 


[root@www ~]# /etc/init.d/vsftpd start 

[root@www ~]# netstat -tulnp&#124; grep 21 

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 11689/vsftpd 
# 看 到 史 ， 是 由 vsftpd 所 启动 的 呢 ! 


e 自行 设 定 以 super daemon 来 启动 (有 必要 再 进行 ， 不 用 实 作 ) 


如 果 你 的 FTP 是 很 少 被 使 用 的 ， 那 么 利用 super daemon 来 管理 不 失 为 一 个 好 主意 。 不 过 若 
你 想 要 使 用 super daemon 管理 的 话 ， 那 就 得 要 自行 修改 一 下 配置 文件 了 。 其 实 也 不 难 啦 ， 
你 应 该 要 这 样 处 理 的 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 找到 listen=YES 这 一 行 : 大 约 在 109 行 左 右 啦 ， 并 将 它 改 成 : 
listen=NO 


接 下 来 修改 一 下 super daemon 的 配置 文件 ， 底 下 这 个 档案 你 必须 要 自行 建立 的 ， 原 本 是 不 
存在 的 喔 : 
[root@www ~]# yum install xinetd  ”&1lt;== 假 设 xinetd 没有 安装 时 


[root@www ~]# vim /etc/xinetd.d/vsftpd 
service ftp 


{ 
socket_type = stream 
wait = no 
USer = root 
server = /usr/sbin/vsftpd 
log_on_success += DURATION USERID 
log_on_failure += USERID 
nice = 10 
disable = no 

} 

然后 尝试 启动 看 看 呢 


[root@www ~]# /etc/init.d/vsftpd stop 

[root@www ~]# /etc/init.d/xinetd restart 

[root@www ~]# netstat -tulnp&#124; grep 21 

tcp © 00.0.0.0:21 0.0.0.0:* LISTEN 32274/xinetd 


有 趣 吧 ! 两 者 启动 的 方式 可 不 一 样 啊 ! 管理 的 方式 就 会 差 很 多 的 哆 ! 不 管 你 要 使 用 哪 种 启动 
的 方式 ， 切 记 不 要 两 者 同时 启动 ， 否 则 会 发 生 错 误 的 ! 你 应 该 使 用 chkconfig --list 检查 一 下 
这 两 种 启动 的 方式 ， 然 后 依据 你 的 需求 来 决定 用 哪 一 种 方式 启动 。 鸟 哥 底下 的 设 定 都 会 以 
stand alone 这 个 CentOS 默认 的 启动 模式 来 处 理 ， 所 以 赶紧 将 刚刚 的 动作 给 他 改 回来 喔 ! 


21.2.5 CentOS 的 vsftpd 默认 值 


在 CentOS 的 默认 值 当 中 ，vsftpd 是 同时 开放 实体 用 户 与 匿名 用 户 的 ，CentOS 的 默认 值 如 
“2 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 


# 1\， 与 匿名 者 有 关 的 信息 : 
anonymous_enable=YES 


# 2\， 与 实体 用 户 有 关 的 设 定 
local enable=YES 

write_ enable=YES 

Jocal umask=022 


# 3\， 与 服务 器 环境 有 关 的 设 定 
dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_ port_20=YES 
xferlog_std_format=YES 
listen=YES 
pam_service_name=vsftpd 
userlist_ enable=YES 
tcp_wrappers=YES 


&1t ;== 支 持 匿名 者 的 登入 使 用 FTP 功能 


&1t; == 支持 本 地 端的 实体 用 户 登 入 
@&1t ; == 允许 用 户 上 传 数据 (包括 档案 与 目录 ) 
&1t ;== 建 立新 目录 (755) 与 档案 (644) 的 权限 


&lt ;== 若 目录 下 有 .message 则 会 显示 该 档案 的 内 容 

&1lt ;== 局 动 登录 文件 记录 ， 记 录 于 /var/1Log/xfer1og 

&1t ;== 支 持 主动 式 联机 功能 

&1lt;== 支 持 WuFTP 的 登录 档 格式 

&1lt ;== 使 用 stand alone 方式 启动 vsftpd 

&1lLt;== 支 持 PAM 模块 的 管理 

&lt ;== 支 持 /etc/vsftpd/user_1list 档案 内 的 账号 登入 管控 ! 
&1t ;== 支 持 TCP Wrappers 的 防火 墙 机 制 


上 面 各 项 设 定 值 请 自行 参考 21.2.3 的 详细 说 明 吧 。 而 通过 这 样 的 设 定 值 咱们 的 vsftpd 可 以 达 
到 如 下 的 功能 : 


e。 你 可 以 使 用 anonymous 这 个 匿名 账号 或 其 他 实体 账号 (/etc/passwd) 登入 ; 

。 anonymous 的 家 目录 在 /var/ftp ， 且 无 上 传 权 限 ， 亦 已 经 被 chroot 了 ; 

e 实体 用 户 的 家 目录 参考 /etc/passwd， 并 没有 被 chroot， 可 前 往 任何 有 权限 可 进入 的 目录 
中 ; 

。 任何 于 /etc/vsftpd/ftpusers 内 存在 的 账号 均 无 法 使 用 vsftpd (PAM) ; 

e 可 利用 /etc/hosts.{allow|deny} 来 作为 基础 防火 墙 ; 

e。 当 客 户 端 有 任何 上 传 /下 载 信息 时 ， 该 信息 会 被 纪录 到 /varlog/xferlog 中 ; 

e 主动 式 联机 的 堆 口 为 port 20 ; 

e。 <U> 使 用 格林 威 治 时 间 (GMT)。</u> 


所 以 当 你 启动 vsftpd 后 ， 你 的 实体 用 户 就 能 够 直接 利用 vsftpd 这 个 服务 来 传输 他 自己 的 数据 
了 。 不 过 比较 大 的 问题 是 ， 因 为 vsftpd 预 设 使 用 GMT 时 间 ， 因 为 你 在 客户 端 使 用 ftp 软件 连 
接 到 FTP 服务 器 时 ， 会 发 现 每 个 档案 的 时 间 都 慢 了 八 小 时 了 ! 丨 是 讨厌 啊 1 所 以 建议 你 加 设 
一 个 参数 值 ， 就 是 『 use localtime=YES 4」 史 ! 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 在 这 个 档案 当中 的 最 后 一 行 加 入 这 一 名 即 可 
use_localtime=YES 


[root@www ~]# /etc/init.d/vsftpd restart 
[root@www ~]# chkconfig vsftpd on 


如 此 一 来 你 的 FTP 服务 器 不 但 可 以 提供 匿名 账号 来 下 载 /var/ftp 的 数据 ， 如 果 使 用 实体 账号 
来 登入 的 话 ， 就 能 够 进入 到 该 用 户 的 家 目录 底下 去 了 ! 里 是 很 简单 方便 的 一 个 设 定 啊 ! 且 使 
用 本 地 端 时 间 呢 1 A_^ 


另外 ， 如 果 你 预计 要 将 FTP 开放 给 Internet 使 用 时 ， 请 注意 得 要 开放 防火 墙 喔 | 关于 防火 墙 
的 建 置 情况 ， 由 于 牵涉 到 数据 流 的 主动 、 被 动 联机 方式 ， 因 此 ， 还 得 要 加 入 防火 墙 模块 。 这 
部 份 我 们 在 后 续 的 21.2.8 小 节 再 加 以 介绍 ， 反 正 ， 最 终 记 得 要 开放 FTP 的 联机 要 求 就 对 了 | 


21.2.6 针对 实体 账号 的 设 定 


虽然 在 CentOS 的 默认 情况 当中 实体 用 户 已 经 可 以 使 用 FTP 的 服务 了 ， 不 过 我 们 可 能 还 需要 
一 些 额 外 的 功能 来 限制 实体 用 户 。 举例 未 说， 限制 用 户 无 法 离开 家 目录 (chroot) 、 限 制 下 载 
思 六 、 限 制 用 户 上 传 档案 时 的 权限 (mask) 等 等 。 底 下 我 们 先 列 出 一 些 希望 达到 的 功能 ， 然 后 
再 继续 进行 额外 功能 的 处 理 : 


。 项 望 使 用 台湾 本 地 时 间 取 代 GMT 时 间 ; 

e 用 户 登 入 时 显示 一 些 欢 迎 讯息 的 信息 ; 

e 系统 账号 不 可 登入 主机 ( 亦 即 UID 小 于 500 以 下 的 账号 ) ; 

e。 一 般 实 体 用 户 可 以 进行 上 传 、 下 载 、 建 立 目录 及 修改 档案 等 动作 ; 
e 用 户 新 增 的 档案 、 目 录 之 umask 希望 设 定 为 002 ; 

e 其 他 主机 设 定 值 保留 默认 值 即 可 。 


你 可 以 自行 处 理 vsftpd.conf 这 个 档案 ， 以 下 则 是 一 个 范例 。 注 意 ， 如 果 你 的 vsftpd.conf 没有 
相关 设 定 值 ， 请 自行 补 上 吧 ! OK ! 让 我 们 开始 一 步 一 步 来 依 序 处理 先 : 


先 建立 主 配置 文件 vsftpd.conf， 这 个 配置 文件 已 经 包含 了 主要 设 定 值 


[root@www ~]# vim es conf 
# 1\， 与 匿名 者 相关 的 信息 ， 在 这 个 案例 中 将 匿名 登录 取消 : 
anonymous_enable=NO 


# 2\， 与 实体 用 户 相 关 的 信息 : 可 写 入 ， 且 umask 为 002 喔 1! 

Jocal enable=YES 

write_enable=YES 

Jocal umask=002 

userlist_enable=YES 

userlist_deny=YES 

userlist_file=/etc/vsftpd/user_list  &1t;== 这 个 档案 必须 存在 ! 还 好 ， 预 设 有 此 档案 ! 


# 3\， 与 服务 器 环境 有 关 的 设 定 

use_localtime=YES 

dirmessage_enable=YES 

xferlog_enable=YES 

connect_from port_20=YES 

xferlog_std_format=YES 

listen=YES 

pam_service_ name=vsftpd 

tcp_wrappers=YES 

banner_file=/etc/vsftpd/welcome.txt &lLt;==&lt;u&gt; 这 个 档案 必须 存在 ! 需 手 动 建 立 | &1t;/u&g1 


[root@www ~]# /etc/init.d/xinetd restart &lt;== 取 消 super dameon 
[root@www ~]# /etc/init.d/vsftpd restart 


| 





当 我 们 想 让 登入 者 可 查阅 咱们 系统 管理 员 所 下 达 的 『 公 告 」 事 项 时 ， 可 以 使 用 这 a 
定 ! 那 就 是 banner_file=/etc/vsftpd/welcome.txt 这 个 参数 的 用 途 了 ! 我 们 可 以 编辑 这 
档案 即 可 。 好 了 ， 开 始 来 建立 欢迎 画面 吧 | 


[root@www ~]# vim /etc/vsftpd/welcome.txt 
欢迎 光临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! 

主要 的 服务 是 针对 本 机 实体 用 户 提 供 的 ， 

若 有 任何 问题 ， 请 与 鸟 哥 联络 ! 


3. 建立 限制 系统 账号 登入 的 档案 


再 来 是 针对 系统 账号 来 给 予 抵挡 的 机 制 ， 其 实 有 两 个 档案 啦 ， 一 个 是 PAM 模块 管 的 ， 一 
个 是 vsftpd 主动 提供 的 ， 在 预 设 的 情况 下 这 两 个 档案 分 别 是 : 


o /etc/vsftpd/ftpusers : 就 是 /etc/pam.d/vsftpd 这 个 档案 受 定 所 影响 的 ; 

o /etc/vsftpd/user list : 由 vsftpd.conf 的 userlist file 所 设 定 。 这 两 个 档案 的 内 容 是 一 
样 的 哩 一 并 且 这 两 个 档案 必须 要 存在 才 行 。 请 你 参考 你 的 /etc/passwd 配置 文件 ， 
然后 将 UID 小 于 500 的 账号 名 称 给 他 同时 写 到 这 两 个 档案 内 吧 | 一 行 一 个 账号 ! 

[root@www ~]# vim /etc/vsftpd/user_list 

root 

bin 
Oe 


4. 测试 结果 : 


你 可 以 使 用 图 形 接口 的 FTP 客户 端 软件 来 处 理 ， 也 可 以 透 过 Linux 本 身 提供 的 ftp 客户 
端 功 能 哩 ! 关于 ftp 指令 我 们 已 经 在 第 五 章 谈 过 了 ， 你 可 以 自行 前 往 参 考 。 这 里 直接 测 
试 一 下 吧 : 


# 测试 使 用 已 知 使 用 者 登入 ， 例 如 dmtsai 这 个 实体 用 户 : 
es ~]# ftp localhost 
Trying 127.0.0.1... 
ne to localhost (127.0.0.1). 
220- 欢 迎 光 临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! &1t ;== 刚 刚 建立 的 欢迎 讯息 
220- 主 要 的 服务 是 针对 本 机 实体 用 户 提 供 的 ， 
220- 若 有 任何 问题 ， 请 与 岛 哥 联络 ! 
220 
Name (localhost:root): student 
331 Please specify the password. 
Password: &lt;== 输 入 密码 喝 在 这 里 | 
500 00PS: cannot change directory:/home/student &]lt;== 有 讲 登 入 失败 的 原因 喔 | 
Login failed. 
ftp&gt; bye 
221 Goodbye. 


et dn vi eis ee 
处 理 。 然 后 以 上 面 的 方式 测试 完毕 后 ， 你 可 以 在 登入 者 账号 处 分 别 卉 写 (1)root 
(2)anonymous 来 尝试 登入 看 看 ! 如 果 不 能 登入 的 话 ， 那 就 是 设 定 OK 的 啦 ! (root 不 能 
登入 是 因为 PAM 模块 以 及 user list 设 定 值 的 关系 ， 而 匿名 无 法 登入 ， 是 因为 我 们 
vsftpd.conf 里 头 就 是 设 定 不 能 用 匿名 登录 嘛 | ) 


上 面 是 最 简单 的 实体 账号 相关 设 定 。 那 如 果 你 还 想 要 限制 用 户 家 目录 的 chroot 或 其 他 如 速 限 
等 数据 ， 就 得 要 看 看 底下 的 特殊 设 定 项 目 喝 。 


。 实体 账号 的 SELinux 议题 


在 预 设 的 情况 下 ，CentOS 的 FTP 是 不 允许 实体 账号 登入 取得 家 目录 数据 的 ， 这 是 因为 
SELinux 的 问题 啦 ! 如 果 你 在 刚刚 的 ftp localhost 步骤 中 ， 在 bye 离开 FTP 之 前 下 达 过 『 
dir 」 的 话 ， 那 你 会 发 现 没有 任何 资料 跑 出 来 全 这 并 不 是 你 错 了 ， 而 是 SELinux 不 太 对 劲 的 
缘故 。 那 如 何 解 决 呢 ? 这 样 处 理 即 可 : 


[root@www ~]# getsebool -a &#124; grep ftp 

allow_ftpd_anon_ write --&gt; off 

allow_ftpd_full access --&gt; off 

allow_ftpd_use cifs --&gt; off 

allow_ftpd_use_nfs --&gt; off 

ftp_home_dir --&gt; off &1t ;== 就 是 这 玩意 儿 ! 要 设 定 on 才 行 ! 
Te 


[root@www ~]# setsebool -P ftp_home_dir=1 


这 样 就 搞定 嘿 ! 如 果 还 有 其 他 可 能 发 生 错 误 的 原因 ， 包 括 档案 数据 使 用 mv 而 非 使 用 cp 导致 
SELinux 文件 类 型 无 法 继承 原 有 目录 的 类 型 时 ， 那 就 请 自行 查阅 /var/log/messages 的 内 容 
吧 | 通常 SELinux 没有 这 么 难处 理 的 啦 1 ^ 人 人 ^ 


e。 对 使 用 者 (包括 未 来 新 增 用 户 ) 进行 chroot 


在 乌 哥 接触 的 一 般 FTP 使 用 环境 中 ， 大 多 数 都 是 要 开放 给 厂商 联机 来 使 用 的 ， 给 自己 人 使 用 
的 机 会 虽然 也 有 ， 不 过 使 用 者 数量 通常 比较 少 一 些 。 所 以 嚼 ， 乌 可 现在 都 是 建议 默认 让 实体 
用 户 通通 被 chroot ， 而 允许 不 必 chroot 的 账号 才 需 要 额外 设 定 。 这 样 的 好 处 是 ， 新 建 的 账号 
如 果 忘 记 进 行 chroot， 反 正 原 本 就 是 chroot， 比 较 不 用 担心 如 果 该 账号 是 开 给 厂商 时 该 怎 办 
的 问题 。 


现在 假设 我 系统 里 面 仅 有 vbird 与 dmtsai 两 个 账号 不 要 被 chroot， 其 他 如 student, smb1... 等 
账号 通通 预 设 是 chroot 的 啦 ， 包 括 未 来 新 增 账号 也 全 部 预 设 chroot ! 那 该 如 何 设 定 ? 很 简 
单 ， 三 个 设 定 值 加 上 一 个 额外 配置 文件 就 搞定 了 | 步骤 如 下 : 


# 1\， 修改 vsftpd.conf 的 参数 值 : 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 是 否 设 定 针 对 某 些 使 用 者 来 chroot 的 相关 设 定 哟 ! 
chroot_local_user=YES 

chroot_list_enable=YES 
chroot_list_file=/etc/vsftpd/chroot_list 


# 2\， 建 立 不 被 chroot 的 使 用 者 账号 列表 ， 即 使 没有 任何 账号 ， 此 档案 也 是 要 存在 ! 
[root@www ~]# vim /etc/vsftpd/chroot_list 

vbird 

dmtsai 


[root@www ~]# /etc/init.d/vsftpd restart 


如 此 一 来 ， 除 了 dmtsai 与 vbird 之 外 的 其 他 可 用 FTP 的 账号 者 ， 通 通 会 被 chroot 在 他 们 的 
家 目录 下 ， 这 样 对 系统 比较 好 啦 ! 接 下 来 ， 请 你 自己 分 别 使 用 有 与 没有 被 chroot 的 账号 来 联 
机 测试 看 看 。 


。 限制 实体 用 户 的 总 下 载 流量 (带宽 ) 


你 可 不 硕 望 带宽 被 使 用 者 上 传 / 下 载 所 耗 尺 ， 而 影响 咱们 服务 器 的 其 他 正 所 以 限制 
使 用 者 的 传输 带宽 有 时 也 是 需要 的 ! 假设 『 了 我 要 限制 所 有 使 用 者 的 总 传输 带宽 最 大 可 达 1 
MBytes/ 秒 4 时， 你 可 以 这 样 做 即 可 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 增加 底下 这 一 个 参数 即 可 : 
1ocal_max_rate=1000000  &1Lt;== 记 住 咀 ， 单 位 是 bytes/second 


[root@www ~]# /etc/init.d/vsftpd restart 


上 述 的 单位 是 Bytes/ 秒 ， 所 以 你 可 以 依据 你 自己 的 网 络 环境 来 限制 你 的 带宽 ! 这 样 就 给 他 限 
制 好 嘿 ! 有 够 容易 吧 ! 那 怎么 测试 啊 ? 很 简单 ， 用 本 机 测试 最 准 ! 你 可 以 用 dd 做 出 一 个 
10MB 的 档案 放 在 student 的 家 目录 下 ， 然 后 用 root 下 达 ftp localhost， 并 输入 student 的 帐 
密 ， 接 下 来 给 他 get 这 个 新 的 档案 ， 就 能 够 在 最 终 知 道 下 载 的 速度 啦 ! 


e 限制 最 大 同时 上 线 人 数 与 同一 IP 的 FTP 联机 数 


如 果 你 有 限制 最 大 使 用 带宽 的 话 ， 那 么 你 可 能 还 需要 限制 最 大 在 线 人 数 才 行 ! 举例 来 说 ， 你 
希望 最 多 只 有 10 个 人 同时 使 用 你 的 FTP 的 话 ， 并 且 每 个 IP 来 源 最 多 只 能 建立 一 条 FTP 的 
联机 时 ， 那 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 增加 底下 的 这 两 个 参数 : 

max_clients=10 

max_per_ip=1 


[root@www ~]# /etc/init.d/vsftpd restart 


这 样 就 搞定 了 |! 让 你 的 FTP 不 会 人 满 为 患 呐 ! 
。 建立 严格 的 可 使 用 FTP 的 账号 列表 


在 预 设 的 环境 当中 ， 我 们 是 将 『 不 许 使 用 FTP 的 账号 写 入 /etc/vsftpd/user list 档案 ] ， 所 以 
没有 写 入 /etc/vsftpd/user list 当中 的 使 用 者 就 能 够 使 用 FTP 了 ! 如 此 一 来 ， 未 来 新 增 的 使 用 
者 预 设 都 能 够 使 用 FTP 的 服务 。 如 果 换 个 角度 来 思考 ， 若 我 想 只 让 某 些 人 可 以 使 用 FTP 而 
已 ， 亦 即 是 新 增 的 使 用 者 预 设 不 可 使 用 FTP 这 个 服务 的 话 那么 应 该 如 何 作 呢 ? 你 需要 修改 配 
置 文件 成 为 这 样 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 这 几 个 参数 必须 要 修改 成 这 样 : 

userlist_ enable=YES 

userlist_deny=NO 

userlist file=/etc/vsftpd/user_list 


[root@www ~]# /etc/init.d/vsftpd restart 


则 此 时 『 写 入 /etc/vsftpd/user_list 变 成 可 以 使 用 FTP 的 账号 ] 了 |! 所 以 未 来 新 增 的 使 用 者 如 
果 要 能 够 使 用 FTP 的 话 ， 就 必须 要 写 入 /etc/vsftpd/user list 才 行 ! 使 用 这 个 机 制 请 特别 ] 
心 ， 否 则 容易 搞 混 掉 ~ 


透 过 这 几 个 简单 的 设 定 值 ， 相 信 vsftpd 已 经 可 以 符合 大 部 分 合法 FTP 网 站 的 需求 史 ! 更 多 详 
细 的 用 法 则 请 参考 man 5 vsftpd.conf 吧 ! 


例题 : 假设 你 因为 某 些 特殊 需求 ， 所 以 必须 要 开放 root 使 用 FTP 传输 档案 ， 那 么 你 应 该 要 如 
何 处 理 ? 答 : 由 于 系统 账号 无 法 使 用 FTP 是 因为 PAM 模块 与 vsftpd 的 内 建功 能 所 致 ， 亦 即 
是 /etc/vsftpd/ftpusers 及 /etc/vsftpd/user list 这 两 个 档案 的 影响 。 所 以 你 只 要 进入 这 两 个 档 

案 ， 并 且 将 root 那 一 行 批注 掉 ， 那 root 就 可 以 使 用 vsftpd 这 个 FTP 服务 了 。 不 过 ， 不 建议 

如 此 作 喔 ! 


21.2.7 仅 有 匿名 登录 的 相关 设 定 


虽然 你 可 以 同时 开启 实体 用 户 与 匿名 用 户 ， 不 过 建议 你 ， 服 务 器 还 是 依据 需求 ， 针 对 单一 种 
身份 来 设 定 吧 | 底下 我 们 将 针对 匿名 用 户 来 设 定 ， 且 不 开放 实体 用 户 。 一 般 来 说 ， 这 种 设 定 
是 给 类 似 大 专 院 校 的 FTP 服务 器 来 使 用 的 哩 ! 


。 使 用 台湾 本 地 的 时 间 ， 而 非 GMT 时 间 ; 

。 提供 欢迎 讯息 ， 说 明 可 提供 下 载 的 信息 ; 

e。 仅 开 放 anonymous 的 登入 ， 且 不 需要 输入 密码 ; 

e。 文件 传输 的 速 限 为 1 Mbytes/second ; 

e 数据 连接 的 过 程 (不 是 命令 通道 ! ) 只 要 超过 60 秒 没有 响应 ， 就 强制 Client 断 线 ! 
。 只 要 anonymous 超过 十 分 钟 没有 动作 ， 就 子 以 断 线 ; 

。 最 大 同时 上 线 人 数 限 制 为 50 人 ， 且 同一 IP 来 源 最 大 联机 数量 为 5 人 ; 


。 预 设 的 FTP 匿名 者 的 根 目录 所 在 : ftp 账号 的 家 目录 


OK ! 那 如 何 设 定 呢 ? 首先 我 们 必须 要 知道 的 是 匿名 用 户 的 目录 在 哪里 ? 事实 上 匿名 者 默认 登 
入 的 根 目 录 是 以 ftp 这 个 用 户 的 家 目录 为 主 ， 所 以 你 可 以 使 用 『 fingerftp 」 来 查阅 。 咱们 的 
CentOS 默认 的 匿名 者 根 目录 在 /Var/ftp/ 中 。 且 匿名 登录 者 在 使 用 FTP 服务 时 ， 他 预 设 可 以 

使 用 『ftp 4 这 个 使 用 者 身份 的 权限 喔 ， 只 是 被 chroot 到 /var/ftp/ 目录 中 就 是 了 。 


为 匿名 者 只 会 在 /var/ftp/ 当中 浏览 ， 所 以 你 必须 将 要 提供 给 用 户 下 载 的 数据 通通 给 放置 到 
/Var/ftp/ 去 。 假设 你 已 经 放置 了 linux 的 相关 目录 以 及 gnu 的 相关 软件 到 该 目录 中 了 ， 那 我 们 
可 以 这 样 做 个 假设 : 


[root@www ~]# mkdir /var/ftp/linux 
[root@www ~]# mkdir /var/ftp/gnu 


然后 将 vsftpd.conf 的 数据 清空 ， 重 新 这 样 处 理 他 吧 : 


1. 建立 vsftpd.conf 的 设 定数 据 


[root@www ~]# vim Bi 

# 将 这 a 

# 1\， 与 匿名 者 相关 的 信息 

er lo 

no_anon_password=YES &lt; = 匿名 全 立 录 时 ， 系 统 不 会 检验 密码 (通常 是 email) 
anon_max_rate=1000000 &1t ;== 最 大 带宽 使 用 为 1MB/s 左右 
data_connection_timeout=60 &lt! =- 数据 流 联机 的 timeout 为 60 秒 
idle_session_timeout=600 &1t ;== 若 匿名 者 发 呆 超 过 10 分 钟 就 断 线 
max_clients=50 &1t;== 最 大 联机 与 每 个 IP 的 可 用 联机 
max_per_ip=5 


# 2\， 与 实体 用 户 相关 的 信息 ， 本 案例 中 为 关闭 他 的 情况 ! 
local enable=NO 


# 3\， 与 服务 器 环境 有 关 的 设 定 

use_localtime=YES 

dirmessage_enable=YES 

xferlog_enable=YES 

connect_from_ port_20=YES 

xferlog_std_format=YES 

listen=YES 

pam_service_name=vsftpd 

tcp_wrappers=YES 
banner_file=/etc/vsftpd/anon_welcome.txt &1lt;== 档 名 有 改 喔 ! 


[root@www ~]# /etc/init.d/vsftpd restart 


2， 建 立 欢迎 画面 与 下 载 提示 讯息 


各 位 亲爱 的 观众 朋友 ! 要 注意 ~ 在 这 个 案例 当中 ， 我 们 将 欢迎 讯息 设 定 在 
se Welcome.txt 这 个 档案 中 ， 至 于 这 个 档案 的 内 容 你 可 以 这 样 写 (这 个 档 
一 定 要 存在 ! 否则 会 造成 客户 端 无 法 联机 成 功 喔 1 ) : 


[root@www ~]# vim /etc/vsftpd/anon welcome.txt 
欢迎 光临 本 站 所 提供 的 FTP 服务 ! 

本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 自由 软件 喔 ! 
有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

主要 的 目录 为 : 


linux 提供 Linux 操作 系统 相关 软件 
gnu 提供 GNU 的 自由 软件 
uploads 提供 匿名 的 您 上 传 数据 


看 到 哆 1! 主要 写 的 数据 都 是 针对 一 些 公告 事项 就 是 了 ! 
3.， 客户 端的 测试 ; 密码 与 欢迎 讯息 是 重点 ! 


同样 的 ， 我 们 使 用 ftp 这 个 软件 来 给 他 测试 一 下 吧 ! 


[root@www ~]# ftp localhost 

Connected to localhost (127.0.0.1). 

220- 欢 迎 光 临 本 站 所 提供 的 FTP 服务 ! &1t ;== 底 下 这 几 行 中 文 就 是 欢迎 与 提示 讯息 ! 
220- 本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 自由 软件 喔 ! 

220- 有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

220- 主 要 的 目录 为 : 


220- 

220-linux ”提供 Linux 操作 系统 相关 软件 

220-gnu 提供 GNU 的 自由 软件 

220-uploads 提供 匿名 的 您 上 传 数据 

220 

Name (localhost:root): anonymous &lt;== 匿 名 账号 名 称 是 要 背 的 |! 
230 Login successful. &1t;== 没 有 输入 密码 即 可 登入 呢 |! 


Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp&gt; dir 

227 Entering Passive Mode (127,0,0,1,196,17). 
150 Here comes the directory listing. 


drwxr -xr-x 20 0 4096 Aug 08 16:37 gnu 
-rw-r--r-- 1 0 0 17 Aug 08 14:18 index.html 
drwxr -xr-x 2 0 0 4096 Aug 08 16:37 linux 
drwxr -xr-x 2 0 0 4096 Jun 25 17:44 pub 


226 Directory send OK. 
ftp&gt; bye 
221 Goodbye. 


看 到 否 ? 这 次 可 就 不 需要 输入 任何 密码 了 ， 因 为 是 匿名 登录 嘛 | 而且， 如 果 你 以 其 他 的 
账号 来 尝试 登入 时 ， 那 么 vsftpd 会 立刻 响应 仅 开 放 匿 名 的 讯息 喔 1 (530 This FTP server 
is anonymous only.) 


4， 让 匿名 者 可 上 传 /下 载 自己 的 资料 (权限 开放 最 大 ) 


在 上 列 的 数据 当中 ， 实 际 上 匿名 用 户 仅 可 进行 下 载 的 动作 而 已 。 如 果 你 还 想 让 匿名 者 可 以 上 
传 档案 或 者 是 建立 目录 的 话 ， 那 你 还 需要 额外 增加 一 些 设 定 才 行 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 新 增 底 下 这 几 行 啊 ! 

write_enable=YES 

anon_other_write_ enable=YES 

anon_mkdir write_enable=YES 
anon_upload_enable=YES 


[root@www ~]# /etc/init.d/vsftpd restart 


如 果 你 设 定 上 面 四 项 参数 ， 则 会 允许 匿名 者 拥有 完整 的 建立 、 删 除 、 修 改 档案 与 目录 的 权 
限 。 不 过 ， 实 际 要 生效 还 需要 Linux 的 文件 系统 权限 正确 才 行 ! 我 们 知道 匿名 者 取得 的 身份 
是 ftp， 所 以 如 果 想 让 匿名 者 上 传 数据 到 /varftp/uploads/ 中 ， 则 需要 这 样 做 : 


[root@www ~]# mkdir /var/ftp/uploads 
[root@www ~]# chown ftp /var/ftp/uploads 


然后 你 以 匿名 者 身份 登入 后 ， 就 会 发 现 匿 名 者 的 根 目 录 多 了 一 个 /upload 的 目录 存在 了 ， 并 且 
你 可 以 在 该 目录 中 上 传 档 案 / 目 录 喔 ! 如 此 一 来 系统 的 权限 大 开 ! 很 要 命 喔 ! 所 以 ， 请 仔细 的 
控制 好 你 的 上 传 目 录 才 行 ! 


不 过 ， 在 实际 测试 当中 ， 却 发 现 还 是 没 办 法 上 传 呢 ! 怎么 回 事 啊 ? 如果 你 有 去 看 一 下 
/var/log/messages 的 话 ， 那 就 会 发 现 啦 1 又 是 SELinux 这 家 伙 呢 ! 怎么 办 ?就 透 过 『 
sealert -| ... 」 在 /var/log/messages 里 面 观 察 到 的 指令 丢 进 去 ， 立 刻 就 知道 解决 方案 啦 ! 解 
决 方案 就 是 放行 SELinux 的 匿名 FTP 规则 如 下 : 


[root@www ~]# setsebool -P allow ftpd_anon write=1 
[root@www ~]# setsebool -P allow ftpd_ full access=1 


然后 你 再 测试 一 下 用 anonymous 登入 ， 到 /uploads 去 上 传 个 档案 吧 ! 就 会 知道 能 不 能 成 功 
哩 | 


。 让 匿名 者 仅 具 有 上 传 权 限 ， 不 可 下 载 匿名 者 上 传 的 东西 


一 般 来 说 ， 用 户 上 传 的 数据 在 管理 员 尚 未 查阅 过 是 否 合 乎 版 权 等 相关 事宜 前 ， 是 不 应 该 让 其 
他 人 下 载 的 ! 然而 前 一 小 节 的 设 定 当 中 ， 用 户 上 传 的 资料 是 可 以 被 其 他 人 所 浏览 与 下 载 的 ! 
如 此 一 来 实在 是 很 危险 ! 所 以 如 果 你 要 设 定 /varftp/uploads/ 内 透 过 匿名 者 上 传 的 数据 中 ， 仅 
能 上 传 不 能 被 下 载 时 ， 那 么 被 上 传 的 数据 的 权限 就 得 要 修改 一 下 才 行 ! 请 将 前 一 小 节 所 设 定 
的 四 个 参数 简化 成 为 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 将 这 几 行 给 他 改 一 改 先 ! 记得 要 拿 掉 anon_other_write_enable=YES 
write_ enable=YES 

anon_mkdir_write_ enable=YES 

anon_upload_enable=YES 

chown_uploads=YES &1t ;== 新 增 的 设 定 值 在 此 ! 
chown_username=daemon 


[root@www ~]# /etc/init.d/vsftpd restart 


当然 啦 ， 那 个 /varftp/uploads/ 还 是 需要 可 以 被 ftp 这 个 使 用 者 写 入 才 行 ! 如 此 一 来 被 上 传 的 
档案 将 会 被 修改 档案 拥有 者 成 为 daemon 这 个 使 用 者 ， 而 ftp (匿名 者 取得 的 身份 ) 是 无 法 读 取 
daemon 的 数据 的 ， 所 以 也 就 无 法 被 下 载 哆 1 A_A 


例题 : 在 上 述 的 设 定 后 ， 我 尝试 以 anonymous 登入 并 且 上 传 一 个 大 档案 到 /uploads/ 目录 
下 。 由 于 网 络 的 问题 ， 这 个 档案 传 到 一 半 就 断 线 。 下 在 我 重新 上 传 时 ， 却 告知 这 个 档案 无 法 
履 写 ! 该 如 何 是 好 ? 答 :为 什么 会 无 法 履 写 呢 ? 因为 这 个 档案 在 你 脱 机 后 ， 档 案 的 拥有 者 就 
被 改 为 daemon 了 ! 因为 这 个 档案 不 属于 ftp 这 个 用 户 了 ， 因此 我 们 无 法 进行 窗 写 或 删除 的 
动作 。 此 时 ， 你 只 能 更 改 本 地 端 档案 的 档 名 再 次 的 上 传 ， 重 新 从 头 一 直上 传 嘿 | 


e。 被 动 式 联机 者 口 的 限制 


FTP 的 联机 分 为 主动 式 与 被 动 式 ， 主 动 式 联机 比较 好 处 理 ， 因 为 都 是 透 过 服务 器 的 port 20 对 
外 主动 联机 ， 所 以 防火 墙 的 处 理 比 较 简 单 。 被 动 式 联机 就 比较 太 烦 一 因为 预 设 FTP 服务 器 会 
随机 取 几 个 没有 在 使 用 当中 的 埠 口 来 建立 被 动 式 联机 ， 那 防火 墙 的 设 定 就 麻烦 啦 ! 


没关系 ， 我 们 可 以 透 过 指定 几 个 固定 范围 内 的 埠 口 来 作为 FTP 的 被 动 式 数据 连接 之 用 即 可 ， 
这 样 我 们 就 能 够 预先 知道 FTP 数据 链 路 的 埠 口 啦 ! 举例 来 说 ， 我 们 假设 被 动 式 连接 的 埠 口 为 
65400 到 65410 这 几 个 埠 口 时 ， 可 以 这 样 设 定 : 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 底下 这 几 行 即 可 啊 ! 


pasv_min_port=65400 
pasv_max_port=65410 


[root@www ~]# /etc/init.d/vsftpd restart 


匿名 用 户 的 设 定 大 致 上 这 样 就 能 符合 你 的 需求 嘿 ! 其 他 的 设 定 就 自己 看 着 办 吧 | ^ 人 ^ 


21.2.8 防火 墙 设 定 


防火 墙 设 定 有 什么 难 的 ? 将 第 九 章 里 面 的 script 拿 出 来 修改 即 可 啊 | 不过， 如同 前 言谈 到 
的 ，FTP 使 用 两 个 埠 口 ， 加 上 常 有 随机 启用 的 数据 流 埠 口 ， 以 及 被 动 式 联机 的 服务 器 境 口 
等 ， 所 以 ， 你 可 能 得 要 进行 : 


。 加 入 iptables 的 ip_nat ftp, ip_conntrack_ftp 两 个 模块 
。 开放 port 21 给 因特网 使 用 
e。 开放 前 一 小 节 提 到 的 port 65400~65410 境 口 给 Internet 联机 用 


要 修改 的 地 方 不 少 ， 那 就 让 我 们 来 一 步 一 脚印 吧 | 


# 1\， 加 入 模块 : 虽然 ijptables.rule 已 加 入 模块 ， 不 过 系统 档案 还 是 修改 一 下 好 了 : 
[root@www ~]# vim /etc/sysconfig/iptables-config 

IPTABLES MODULES="ip_nat_ftp ip_conntrack_ftp" 

# 加 入 模块 即 可 ! 两 个 模块 中 间 有 空格 键 隔 开 ! 然后 重新 启动 iptables 服务 虽 ! 





[root@www ~]# /etc/init.d/iptables restart 

# 2\， 修改 iptables.rule 的 脚本 如 下 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT 

# 找到 上 面 这 一 行 ， 并 将 前 面 的 批注 拿 掉 即 可 ! 并 且 新 增 底下 这 一 行 喔 ! 

iptables -A INPUT -p TCP -i $EXTIF --dport 65400:65410 --sport 1024:65534 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 就 好 了 ! 同时 兼顾 主动 式 与 被 动 式 的 联机 ! 并 且 加 入 所 需要 的 FTP 模块 喝 ! 


21.2.9 第 见 问题 与 解决 之 道 
底下 说 明 几 个 常见 的 问题 与 解决 之 道 吧 | 


e@ 如 果 在 Client 端 上 面 发 现 无 法 联机 成 功 ， 请 检查 : 


1. iptables 防火 墙 的 规则 当中 ， 是 否 开 放 了 client 端的 port 21 登入 ? 
2. 在 /etc/hosts.deny 当中 ， 是 否 将 client 的 登入 权限 挡住 了 ? 
3. 在 /etc/xinetd.d/vsftpd 当中 ， 是 否 设 定 错误 ， 导 致 client 的 登入 权限 被 取消 了 ? 
e 如 果 Client 已 经 连 上 vsftpd 服务 器 ， 但 是 却 显示 『 XXX file can't be opend 4 的 字样 ， 


请 检查 : 


1. 最 主要 的 原因 还 是 在 于 在 vsftpd.conf 当中 设 定 了 检查 某 个 档案 ， 但 是 你 却 没有 将 该 
档案 设 定 起 来 ， 所 以 ， 请 检查 vsftpd.conf 里 面 所 有 设 定 的 档案 档 名 ， 使 用 touch 这 
个 指令 将 该 档案 建立 起 来 即 可 ! 
e。 如 果 Client 已 经 连 上 vsftpd 服务 器 ， 却 无 法 使 用 某 个 账号 登入 ， 请 检查 : 


1. 在 vsftpd.conf 里 面 是 否 设 定 了 使 用 pam 模块 来 检验 账号 ， 以 及 利用 userlist_ file 来 
管理 账号 ? 
2. 请 检查 /etc/vsftpd/ftpusers 以 及 /etc/vsftpd/user list 档案 内 是 否 将 该 账号 写 入 了 ? 
e 如 果 Client 无 法 上 传 档案 ， 该 如 何 是 好 ? 


1， 最 可 能 发 生 的 原因 就 是 在 vsftpd.conf 里 面 忘记 加 上 这 个 设 定 『write_enable=YESJ 
这 个 设 定 ， 请 加 入 ; 
2.， 是 否 所 要 上 传 的 目录 『 权 限 」 不 对 ， 请 以 chmod 或 chown 来 修订 ; 
3， 是 否 anonymous 的 设 定 里 面 忘记 加 上 了 底下 三 个 参数 : 
m anon other write_enable=YES 
nm anon_mkdir write_enable=YES 
sm anon upload enable=YES 
4， 是 否 因为 设 定 了 email 抵挡 机 制 ， 又 将 email address 写 入 该 档案 中 了 ! ? 请 检查 ! 
5， 是 否 设 定 了 不 许 ASCII 格式 传送 ， 但 Client 端 却 以 ASCII 传送 呢 ? 请 在 client 端 以 
binary 格式 来 传送 档案 ! 
6. 检查 一 下 /varlog/messages ， 是 否 被 SELinux 所 抵挡 住 了 呢 ? 
上 面 是 变 常 发 现 的 错误 ， 如 果 还 是 无 法 解决 你 的 问题 ， 请 你 务必 分 析 一 下 这 两 个 档 
案 : /var/log/vsftpd.log 与 /var/log/messages ， 里 面 有 相当 多 的 重要 资料 ， 可 以 提供 给 你 进行 
除 错 喔 ! 不 过 /var/log/vsftpd.log 却 预 设 不 会 出 现 ! 只 有 /var/log/xferlog 而 已 。 如 果 你 想 要 加 


入 /varlog/vsftpd.log 的 支持 ， 可 以 这 样 做 : 
[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
dual_log_enable=YES 
vsftpd_log_file=/var/log/vsftpd.1og 
# 加 入 这 两 个 设 定 值 即 可 哆 ! 


[root@www ~]# /etc/init.d/vsftpd restart 


这 样 未 来 有 新 联机 或 者 是 错误 时 ， 就 会 额外 写 一 份 /var/log/vsftpd.log 去 呢 ! 


21.3 客户 端的 图 形 接口 FTP 联机 软件 


客户 端的 联机 软件 主要 有 文字 接口 的 ftp 及 Iftp 这 两 支 指 令 ， 详 细 的 使 用 方式 请 参考 第 五 章 常 
网 络 指令 的 说 明 。 至 于 Linux 底下 的 图 形 接口 软件 ， 可 以 参考 gftp 这 支 程序 喔 | 图 形 接口 
的 啦 ! 很 简单 啊 ! 那 Windows 底下 有 没有 相对 应 的 FTP 客户 端 软件 ? 


21.3.1 Filezilla 


上 述 的 软件 都 是 自 0 那么 Windows 操作 系统 有 没有 自由 软件 啊 ? 有 的 ， 你 可 以 使 用 
filezilla 这 个 好 东西 ! 这 个 玩意 儿 的 详细 说 明 与 下 载 点 可 以 在 底下 的 连结 找到 : 


e 说 明 网 站 : http://filezilla.sourceforge.net/ 
。 下 载 网 站 : http://sourceforge.net/project/showfiles.php?group_id=21558 


目前 (2011/06) 最 新 的 稳定 版 本 是 3.5.x 版 ， 所 以 底下 鸟 哥 就 以 这 个 版 本 来 跟 大 家 说 明 。 为 什 
么 要 选择 Filezilla 呢 ? 除了 他 是 自由 软件 之 外 ， 这 家 伙 竟 然 可 以 连结 到 SSH 的 sftp 呢 ! 站 是 
很 不 错 的 一 个 家 伙 啊 1 ^^ 1 另外 要 注意 的 是 ， 底 下 鸟 哥 是 以 Windows 版 本 来 说 明 的 ， 不 要 拿 
来 在 XWwindow 上 面 安 装 喔 ! 从 (请 下 载 Filezilla client 不 是 server 喔 ! ) 


因为 这 个 程序 是 给 Windows 安装 用 的 ， 所 以 安装 的 过 oa 
程序 支持 多 国语 系 ， 所 以 你 可 以 选 ee 安装 完毕 之 后 ， 请 你 执行 


他 ， 就 会 出 现 如 下 的 画面 了 : 


乌 可 的 LinuX 和 私房 薪 : 服务 芜 琳 设 篇 第 三 版 
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图 21.3-1、Filezilla 的 操作 接口 示意 图 


上 图 的 第 一 、 二 到 五 区 的 内 容 所 代表 的 资料 是 : 


: 代表 FTP 服务 器 的 输出 信息 ， 例 如 欢迎 讯息 等 信息 ; 
: 代表 本 机 的 文件 系统 目录 ， 与 第 三 区 有 关 ; 

: 代表 第 二 区 所 选择 的 磁盘 内 容 为 何 ; 

: 代表 远程 FTP 服务 器 的 目录 与 档案 ; 

: 代表 传输 时 的 队列 信息 (等 待 传送 的 数据 ) 
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而 另外 图 中 的 a, b,c 则 代表 的 是 : 


1， 站 台 管 理 员 ， 你 可 以 将 一 些 常用 的 FTP 服务 器 的 IP 与 用 户 信息 记录 在 此 ; 
2. 更 新 ， ee 个 按钮 来 同步 filezilla 的 屏幕 显示 ; 
3. 主机 地 址 、 用 户 、 密 码 与 端口 这 四 个 玩意 儿 可 以 实时 联机 ， 不 记录 信息 。 


也 | 


好 ， 接 下 来 我 们 连接 到 FTP 服务 器 上 面 去 ， 所 以 你 可 按 下 图 21.3-1 的 a 部 分 ， 会 出 现 如 下 
面 : 


ee 一 般 识 定 | 进 阶 识 定 | 传输 误 定 | 宇 码 集 


用 息 哥 的 区 网 本 机 主机 人 H)， -192.168,100,254 | 过 接 志 人 P)， | 
3 | FTP - 档案 传 办 协定 


加 密 {E); 使 用 神 粹 的 FTP 


























登入 型 式 (L) 一般 。 
使 用 者 ) anonymous 


帐号 (A) 
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诗 诅 (Ml); 
































Filezilla 的 FTP 站 台 管 理 员 使 用 示意 图 





图 21.3-2、 


上 图 的 箭头 与 相关 的 内 容 是 这 样 的 : 


1 先 按 下 『 新 增 站 台 J 的 按钮 ， 然 后 在 箭头 2 的 地 方 就 会 出 现 可 输入 名 称 的 方 框 ; 

2. 在 该 方 框 当中 随便 填写 一 个 你 容易 记录 的 名 字 ， 只 要 与 真正 的 网 站 有 点 关连 即 可 ; 

3 接 下 来 看 到 右边 有 一 般 设 定 ， 在 一 般 设 定 里 面 几 个 项 目 很 重要 的 : 
o 主机 : 在 这 个 方 框 中 填写 主机 的 IP， 端 口 如 果 不 是 标准 的 port 21 才 填 写 其 他 埠 口 。 
o 协定 : 主要 有 (1)FTP 及 (2)SFTP (SSHD 所 提供 )， 我 们 这 里 选 FTP 
o 加 密 : 是 否 有 网 络 加 审 ， 新 的 协议 中 ，FTP 可 以 加 上 TLS 的 FTPS 喔 1! 预 设 为 明码 
o 登入 型 式 : 因为 需要 账号 密码 ， 选 择 『 一 般 」 即 可 ， 然 后 底下 就 是 输入 使 用 者 、 账 

号 即 可 。 


基本 上 这 样 设 定 完 就 能 够 连 上 主机 了 “， 不 过 ， 如 果 你 还 想 要 更 详细 的 规范 数据 连接 的 方式 ( 主 
动 式 与 被 动 式 ) 以 及 其 他 数据 时 ， 可 以 按 下 的 『 传 输 设 定 」 按钮 ， 就 会 出 现 如 下 画面 了 : 


岛 哥 的 LinuXx 和 私房 3 


de 一 般 识 定 | 准 陵 如 定 
中 我 的 站 各 


里 息 哥 的 区 镁 本 楼 传 翰 模 式 (U); 
@ 预 让 {E】 人 主动 模式 他 ) 人) 被 动 模式 人 P) 
回 ] 限制 同时 加 入 雪人 L) 

最 大 连 特 数 (M); 1 



































Filezilla 站 台 管 理 员 内 的 传输 设 定 





图 21.3-3、 


在 这 个 画面 当中 你 可 以 选择 是 否 使 用 被 动 式 传输 机 制 ， 还 可 以 调整 最 大 联机 数 呢 ! 为 什么 要 

自我 限制 呢 ? 因为 Filezilla 会 主动 的 重复 建立 多 条 联机 来 快速 下 载 ， 但 如 果 vsftpd.conf 有 限 
制 max_per ip 的 话 ， 某 些 下 载 会 被 拒绝 的 ! 因此 ， 这 个 时 候 在 此 设 定 为 1 就 显 的 很 重要 ~ 

随时 只 有 一 支 联机 建立 ， 就 不 会 有 重复 登入 的 问题 ! 最 后 请 按 下 图 21.3-2 画面 中 的 『 联 机 J 

吧 | 


反 朗 可 的 区 撞 本 楼 - anonymous@192.168.100.254 - FileZilla 轩 回 因 
档案 巴 ”编辑 巴 ) 梳 视 宦 ) 传输 包间 服 器 包 ” 者 禾 瑟 ) 诸 明 耶 ) 


"Mm A 


| | | 使 用 者 名 称 (U); 密码 (W): | 过 接 起 fp) [过 和 速 绿 (o) | 




















回应 ; 220- 主 要 的 目 铬 高 : 人 
加 应; 220- 
回应 : 220-linux ”提供 Linux 作业 系统 相关 软体 
回应 ; 220-gnu ”提供 GNU 的 自由 软体 Y 
Er 7 
可 击 人 
全 我 的 文件 地 2nu 
日 站 我 的 量 腊 辐 2 linux 医 
由 -SP C: 二 pub 
内 .人 由. 党 PY nnlnads 4 
慷 案 名 先 / 档案 大 小 ”档案 类 别 最 后 修改 时 间 档案 .. / 档案 类 别 最 后 修改 时 间 杜 限 全 
PC: 本 楼 磁 矶 [一 于 
总 D: 光 矶 楼 同 snu 档案 资料 来 。 2011 总 下 午 1..， drwx 
加 linux 档案 资料 来。 2011i62 下 午 1..， drwx 
Dm 档案 资料 来 。 2011W6 吕 下 午 1.， drwx 
nnlnads 档 窑 次 料 变 3M11513 上 午 1 drwr 里 
aa 
2 个 目 儿 1 个 档案 与 4 个 目 儿 . 绵 共 大 小 : 17 Byte 
伺服 器 / 汪 地 档案 方向 乏 端 档案 太 小 ”优先 框 状态 





等 姓 的 栓 案 ， 传 四 失 用 “ 传 翰 成 功 





A en 71 0. 
图 21.3-4、Filezilla 联机 成 功 示 意图 


更 多 的 用 法 就 请 你 自行 研究 史 ! 


21.3.2 透 过 浏览 器 取得 FTP 联机 


我 们 在 第 二 十 章 WWW 服务 器 当中 曾经 谈 过 浏览 器 所 支持 的 协议 ， 
定 哩 1 这 个 协议 的 处 理 方式 可 以 在 网 址 列 的 地 方 这 样 输入 的 : 


其 中 一 个 就 是 ftp 这 个 协 


。 ftp://username@your_ ip 
要 记得 ， 如 果 你 没有 输入 那个 Username@ 的 字样 时 ， 系 统 默 认 会 以 匿名 登录 来 处 理 这 次 的 
联机 。 因 此 如 果 你 想 要 使 用 实体 用 户 联 机 时 ， 就 在 在 IP 或 主机 名 之 前 填写 你 的 账号 。 举 例 来 
说 ， 鸟 哥 的 FTP 服务 器 (192.168.100.254) 若 有 dmtsai 这 个 使 用 者 ， 那 我 启动 浏览 器 后 ， 可 
以 这 样 做 : 


。 ftp://dmtsai@192.168.100.254 


后 在 出 现 的 对 话 窗口 当中 输入 dmtsai 的 密码 ， 就 能 够 使 用 浏览 器 来 管理 我 在 FTP 服务 器 内 
疝 妆 作 洒 芍 史 ! 是 否 很 容易 啊 其 至， 你 连 密码 都 想 要 写 上 网 址 列 ， 那 就 更 厉害 啦 | 


。 ftp://dmtsai:yourpassword@192.168.100.254 


21.4 让 vsftpd 增加 SSL 的 加 密 功 能 


既然 http 都 有 https 了 ， 那 么 使 用 明码 传输 的 ftp 有 没有 加 密 的 ftps 呢 ? 嘿嘿 | 说 的 好 | 有 的 
啦 一 既然 都 有 openss| 这 个 加 密 函 式 库 ， 我们 当然 能 够 使 用 类 似 的 机 制 来 处 理 FTP 哩 ! 但 前 
提 之 下 是 你 的 Vosnba 有 支持 SSL 元 式 库 才 行 ! 此 外 ， 我 们 也 必须 要 建立 SSL 证 档 给 
vsftpd 使 有 用， 这样 才能 够 进行 加 密 嘛 ! 了 解 乎 ! 接 下 来 ， 就 让 我 们 一 步 一 步 的 进行 ftps 的 服 
务 器 建 置 吧 ! 


。 1. 检查 vsftpd 有 无 支持 ssl 模块 : 


如 果 你 的 vsftpd 当初 编译 的 时 候 没有 支持 SSL 模块 ， 那 么 你 就 得 只 好 自己 重新 编译 一 个 
vsftpd 的 软件 了 ! 我 们 的 CentOS 有 支持 吗 ? 赶紧 来 瞧 瞧 : 


[root@www ~]# ldd $(which vsftpd) &#124; grep ssl 
libssl1.so.10 =&gt; /usr/1ib64/1ibss]l.so.10 (Ox00007f0587879000) 


如 果 有 出 现 libssl.so 的 字样 ， 就 是 有 支持 ! 这 样 才 能 够 继续 下 一 步 吻 ! 
e 2. 建立 专门 给 vsftpd 使 用 的 凭证 数据 : 


CentOS 给 我 们 一 个 建立 凭证 的 地 方 ， 那 就 是 /etc/pki/tls/certs/ 这 个 目录 ! 详细 的 说 明 我 们 在 
20.5.2 里 面谈 过 咯 ， 所 以 这 里 只 介绍 怎么 做 : 


[root@www ~]# cd /etc/pki/tls/certs 

ee certs]# make vsftpd.pem 

----- . (前面 省 略 ) . 

Country Name (2 letter code) [XX]:TW 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 

Organization Name (eg, company) [Default Company Ltd]:KSU 

Organizational Unit Name (eg, section) []:DIC 

Common Name (eg, your name or your server's hostname) []:www.centos.vbird 
Email Address []:root@www.centos.vbird 


[root@www certs]# cp -a vsftpd.pem /etc/vsftpd/ 
dy certs]# 11 /etc/vsftpd/vsftpd.pem 

------- . 1 root root 3116 2011-08-08 16:52 /etc/vsftpd/vsftpd.pem 
# 要 注意 一 下 权限 电 | 


。 3. 修改 vsftpd.conf 的 配置 文件 ， 假 定 有 实体 、 匿 名 账号 : 


在 前 面 21.2 里 面 大 多 是 单纯 匿名 或 单纯 实体 帐户 ， 这 里 我 们 将 实体 账号 透 过 SSL 联机 ， 但 匿 
名 者 使 用 明码 传输 ! 两 者 同时 提供 给 客户 端 使 用 啦 ! FTP 的 设 定 项 目 主要 是 这 样 : 


。 提供 实体 账号 登入 ， 实 体 账 号 可 上 传 数据 ， 且 umask 为 002 

e。 实体 账号 默认 为 chroot 的 情况 ， 且 全 部 实体 账号 可 用 带宽 为 1Mbytes/second 
e 实体 账号 的 登入 与 数据 传输 均 需 透 过 SSL 加 密 功 能 传送 ; 

。 提供 匿名 登录 ， 匿 名 者 仅 能 下 载 ， 不 能 上 传 ， 且 使 用 明码 传输 (不 透 过 SSL) 


此 时 ， 整 体 的 设 定 值 会 有 点 像 这 样 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 实体 账号 的 一 般 设 定 项 目 : 

local enable=YES 

write_enable=YES 

local umask=002 

chroot_local user=YES 
chroot_list _ enable=YES 
chroot_list_file=/etc/vsftpd/chroot_list 
local max_rate=10000000 


# 匿名 者 的 一 般 设 定 : 
anonymous_enable=YES 
no_anon_password=YES 
anon_max_rate=1000000 
data_connection timeout=60 
idle_ session timeout=600 


# 针对 SSL 所 加 入 的 特别 参数 ! 每 个 项 目 都 很 重要 ! 

ssl_enable=YES &lt ;== 启 动 SSL 的 支持 

allow_anon_ssl=NO &1t ;== 但 是 不 允许 匿名 者 使 用 SSL 喔 1! 
force_local data_ssl=YES &1t ;== 强 制 实体 用 户 数 据 传输 加 密 

force_local logins_ssl=YES &lt;== 同 上 ， 但 连 登 入 时 的 帐 密 也 加 密 
ssl_tlsv1i=YES &1t ;== 支 持 TLS 方式 即 可 ， 底 下 不 用 启动 

ssl_ sslv2=NO 

ssl_ sslv3=NO 

rsa_cert_file=/etc/vsftpd/vsftpd.pem &]lt;== 预 设 RSA 加 密 的 凭证 档案 所 在 





# 一 般 服务 器 系统 设 定 的 项 目 : 
max_clients=50 

max_per_ip=5 

use_localtime=YES 
dirmessage_enable=YES 
xferlog_enable=YES 

connect_from_ port_20=YES 
xferlog_std_format=YES 

listen=YES 

pam_service_name=vsftpd 
tcp_wrappers=YES 
banner_file=/etc/vsftpd/welcome.txt 
dual_log_enable=YES 
vsftpd_log_file=/var/log/vsftpd.1og 
pasv_min_port=65400 
pasv_max_port=65410 


[root@www ~]# /etc/init.d/vsftpd restart 


。 4. 联机 测试 看 看 ! 使 用 Filezilla 联机 测试 : 


接 下 来 我 们 利用 filezilla 来 说 明 一 下 ， 如 何 透 过 SSL/TLS 功能 来 进行 联机 加 密 。 很 简单 ， 只 
要 在 站 台 管 理 员 的 地 方 选择 : 


鸟 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 





































































































站 和 台 管 理 只 
但 | 一般 训 证 | 进 隧 访 定 | 传 办 设 定 | 字 三 集 | 
里 局 哥 的 区 桐 本 机 主机 仙 )， ”|192,168.100,254 | 连接 起 fP)， 
协定 ( 工 ); FTP - 档案 传 翰 协定 
加 富民 需要 透 沉 和 外 是 式 TLS 的 FTP 
登入 型 式 (L); | 一 般 
使 用 者 (UY: jstudent 
密码 (CW) 
帐号 i&) 
广 解 (MM); 
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过 Filezilla 联机 到 SSL/TLS 支持 的 FTP 方式 








图 21.4-1、 透 


如 上 图 所 示 ， 重 点 在 箭头 所 指 的 地 方 ， 需 要 透 过 TLS 的 加 密 方式 才 行 ! 然后 ， 乌 哥 尝 试 使 用 
student 这 个 一 般 账 号 登入 系统 ， 联 机 的 时 候 ， 应 该 会 出 现 如 下 的 图 示 才 对 : 


21.4 让 vsftpd 增加 SSL 的 加 密 功 能 


812 


i 二 个 伺服 器 的 活 座 不 明 , 请 留心 测试 涯 坎 以 确保 伺服 器 可 以 信任 ， 


详细 内 容 

有 效 从 ; 2011/6/3 
有 效 至 ， 2012/6/2 
通 证 序号 ; 00 


公开 金竹 演算 法 ;RSA with 1024 bits 
数位 指 敏 【MD5);，， cf: 从 ;7a:fd;35;e0:;18;01;33;26;76:97:; 人 和 9;3c:f 人 2;29 
数位 指 税 (SHA-1); ce:9f:b9;bb:b8;30:;82;db:6b;21;a6'dc;33;a5;a4:98:cf:07;30'el 


涯 证 主体 须发 发行 者 

省 证 名 和 类; www,centos,ybird 涯 证 名 和 类; www,centos,vbird 

组 猴 ; KSU 组 织 ; KSU 

单位 ; DIE 单位 ; DIC 

国家 : TW 国家 : TW 

州 郡 省 份 ; Taiwan 州 郡 省 份 ; Taiwan 

城市 名 ;Tainan 城市 名 ;Tainan 

电子 那 件 ; root 各 www,centos,wbird 电子 那 件 ;root 器 www,centos,wbird 
连 粮 细节 






主楼 :; 192.168,100,254;21 
Cipher: 3DES-CBC 


MaC: SHAl 
en er 
0 和 本人 下 和 


确认 取消 





图 21.4-2、 透 过 
Filezilla 是 否 接受 凭证 呢 ? 


如 果 一 切 都 没有 问题 ， 那 么 你 可 以 点 选 上 图 那个 『 总 是 信任 4 的 项 目 ， 如 此 一 来 ， 未 来 联机 
到 这 个 地 方 就 不 会 再 次 要 你 确认 凭证 啦 ! 很 简单 的 解决 了 FTP 联机 加 密 的 问题 哆 1^ 人 人 ^ 


例题 : 想 一 想 ， 既 然 有 了 SFTP 可 以 进行 加 密 的 FTP 传输 ， 那 为 何 需要 ftps 呢 ? 答 : 因为 既 
然 要 开放 SFTP 的 话 ， 就 得 要 同时 放行 sshd 亦 即 是 ssh 的 联机 ， 如 此 一 来 ， 你 的 port 22 很 
可 能 会 常常 被 侦 测 一 若是 openssl, openssh 出 问题 ， 恐 怕 你 的 系统 就 会 被 绑架 。 如 果 你 的 
FTP 站 的 有 必要 存在 ， 那 么 透 过 ftps 以 及 利用 vsftpd 这 个 较为 安全 的 服务 器 软件 来 架设 ， 理 
论 上 ， 是 要 比 sftp 来 的 安全 些 ~~ 至 少 对 Internet 放行 ftps 还 不 会 觉得 很 可 怕 .… 


21.5 重点 回顾 


FTP 是 文件 传输 协议 (File Transfer Protocol) 的 简写 ， 主 要 的 功能 是 进行 服务 器 与 客户 端 

的 档案 管理 、 和 

FTP 的 服务 器 软件 非常 多 ， 例 如 Wu FTP Proftpd, vsftpd 等 等 ， 各 种 FTP 服务 器 软件 的 
发 展 理念 并 不 相同 ， 人 需求 来 决定 所 需要 的 软件 ; 

FTP 使 用 的 是 明码 传输 ， 而 过 去 一 些 FTP 服务 器 软件 也 曾 被 发 现 安全 漏洞 ， 因 此 设 定 前 

请 确定 该 软件 Se ， 避免 安全 议题 的 衍生 ; 

由 于 FTP 是 明码 传输 ， 其 实 可 以 使 用 SSH 提供 的 sftp 来 取代 FTP ; 

大 多 数 的 FTP 服务 器 器 软件 都 提供 chroot 的 功能 ， 将 实体 用 户 限制 目录 内 ; 

FTP 这 个 daemon 所 开启 的 正规 夫 口 为 20 与 21， 其 中 21 为 命令 通道 ，20 为 主动 联 

机 的 数据 传输 信道 

FTP 的 数据 传输 2 分 为 主动 与 被 动 (Passive, PASV)， 如 果 是 主动 的 话 ， 则 ftp- 

data 在 服务 器 端 主动 以 port 20 连接 到 客户 端 ， 否则 需 开 放 被 动 式 监听 的 埠 口 等 待 客户 端 

来 连接 ; 

在 NAT 主机 内 的 客户 端 FTP 软件 联机 时 可 能 发 生 困 扰 ， 这 可 以 透 过 iptables 的 nat 模块 

或 利用 被 动 式 联机 来 克服 ; 

一 般 来 说 ，FTP 上 面 共 有 三 个 群 组 ， 分 别 是 实体 用 户 、 访 客 与 匿名 登录 者 (real, guest， 

anonymous); 

可 以 藉 由 修改 /etc/passwd 里 面 的 Shell 字段 ， 来 让 使 用 者 仅 能 使 用 FTP 而 无 法 登入 主 

机 ; 

FTP 的 指令 、 与 用 户 活动 所 造成 的 登录 档 是 放置 在 /varlog/xferlog 里 面 ; 

Vsftpd 为 专注 在 安全 议题 上 而 发 展 的 一 套 FTP 服务 器 软件 ， 他 的 配置 文件 在 

/etc/vsftpd/vsftpd.conf 


21.6 本 章 习 题 


。 FTP 在 建立 联机 以 及 数据 传输 时 ， 会 建立 哪些 联机 ? 需 建 立 两 种 联机 ， 分 别 是 命令 信道 
与 数据 传输 信道 。 在 主动 式 联机 上 为 port 21(ftp) 与 port 20(ftp-data)。 

。 FTP 主动 式 与 被 动 式 联机 有 何不 同 ? 主动 式 联机 的 时 候 ， 命 令 联机 是 由 client 端 主动 连 
接 到 服务 器 端 ， 但 是 ftp-data 则 是 由 服务 器 端 主动 的 联机 到 client 端 。 至 于 被 动 式 联机 的 
时 候 ， 则 不 论 command 还 是 ftp-data 的 联机 ， 服 务 器 端 都 是 监听 客户 端的 要 求 的 |! 

e。 有 哪些 动作 可 以 让 你 的 FTP 主机 更 为 安全 (secure) ? 


o 随时 更 新 服务 器 软件 到 最 新 版 本 ; 

o 让 guest 与 anonymous 的 家 目录 限制 在 固定 的 目录 中 (chroot 或 是 restricted) ; 
o 拒绝 root 的 登入 或 者 其 他 系统 账号 的 登入 ; 

o 拒绝 大 部 分 的 upload 行为 ! 

。 我 们 知道 ftp 会 启用 两 个 ports ， 请 问 这 两 个 port 在 哪里 规范 的 (以 vsftpd 为 例 )? 而 且 ， 
一 般 正 规 的 port 是 几 号 ? 若 为 stand alone 时 ， 都 是 由 vsftpd.conf 规范 ， 命 令 通 道 为 
listen_port=21 规范 ， 数 据 连接 为 connect from_port 20=YES 及 pasv_max_port=0， 
pasv_max_port=0 所 规范 。 若是 Super daemon 所 管理 时 ， 命 令 信道 则 由 /etc/services 
所 规范 了 。 


。 那 几 个 档案 可 以 用 来 抵挡 类 似 root 这 种 系统 账号 的 登入 FTP ? /etc/vsftpd/ftpusers 
/etc/vsftpd/user_ list 

。 在 FTP 的 server 与 client 端 进行 数据 传输 时 ， 有 哪 两 种 模式 ?为 何 这 两 种 模式 影响 数据 
的 传输 很 重要 ? 数据 的 传输 有 ASCI| 与 Binary 两 种 方式 ， 在 进行 ascii 传送 方式 时 ， 被 
传送 的 档案 将 会 以 文本 模式 来 进行 传送 的 行为 ， 因此 ， 档 案 的 属性 会 被 修改 过 ， 可 能 造 
成 执行 档 最 后 却 无 法 执行 等 的 问题 ! 一 般 来 说 ，ASCI| 通常 仅 用 在 文本 文件 与 一 些 原始 码 
档案 的 传送 。 

。 我 的 主机 明明 时 区 设 定 没有 问题 ， 但 为 何 登入 vsftpd 这 个 FTP 服务 时 ， 时 间 就 是 少 八 小 
时 ? 该 如 何 解决 ?肯定 是 时 区 方面 出 了 问题 ， 应 该 就 是 vsftpd.conf 里 面 少 了 『 
use_localtime=YES 4 这 个 参数 了 。 


21.7 参考 数据 与 延伸 阅读 


e。 vsftpd 官方 网 站 : http://vsftpd.beasts.org/ 

。 man 5 vsftpd.conf 

e Filezilla 官方 网 站 : http://filezilla.sourceforge.net/ 

e vsftpd + ss| 功 
能 : http://wiki.vpslink.com/Configuringvsftpd_for_secure_connections%28TLS/SSL/SF 
TP%29 

se http://beginlinux.com/blog/2009/01/secure-ftp-with-ssl-on-centos/ 


2003/09/03 : 首次 完成 2003/09/04 : 加 入 FTP 服务 器 软件 的 选择 建议 2006/12/19 : 将 四 的 
文章 移动 到 此 处 ， 并 请 自行 参考 wu-ftp, proftpd 等 服务 ! 2006/12/20 : 将 分 散在 各 处 的 FTP 
原则 说 明 完 毕 ， 也 更 新 完毕 吧 ~ 疫 劳 人 2011/05/28 : 将 目的 基于 CentOS 4.x 的 文章 移动 到 此 
处 2011/06/04 : 加 入 了 ftps 的 SSL 联机 加 密 机 制 ! 2011/08/08 : 将 基于 CentOS 5.x 的 版 本 
移动 到 此 处 


向 可 |， 和) 记过 ， 肥 护 加 这 和 饼 筷 二 
包 可 的 LinuX 和 鹤 房 杀 : 服务 碍 汞 了 芭 局 卯 三 版 
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最 近 更 新 日 期 : 2011/08/10 


在 这 个 邮件 服务 器 的 架设 中 ， 我 们 首先 谈论 Mail 与 DNS 的 重要 相关 性 ， 然 后 依 序 介绍 Mail 
Server 的 相关 名 词 ， 以 及 Mail Server 的 运作 基本 流程 与 协议 ， 也 会 谈 到 相关 的 Relay 与 邮 
件 认 证 机 制 等 项 目 ， 这 些 项 目 对 于 未 来 邮件 服务 器 的 管理 与 设 定 是 重要 的 ， 请 不 要 忽略 了 这 
方面 问题 的 讨论 喔 。 由 于 Postfix 的 配置 文件 内 容 较 具有 亲 和 性 ， 因 此 我 们 单纯 介绍 了 

Postfix 不 再 介绍 sendmail 了 。 


e。 22.1 邮件 服务 器 的 功能 与 运作 原理 

o 22.1.1 电子 邮件 的 功能 与 问题 

o 22.1.2 Mail server 与 DNS 之 间 的 关系 

o 22.1.3 邮件 传输 所 需要 的 组 件 (MTA, MUA, MDA) 以 及 相关 协议 
22.1.4 使 用 者 收 信 时 服务 器 端 所 提供 的 相关 协议 : MRA 
22.1.5 Relay 与 认证 机 制 的 重要 性 

o 22.1.6 电子 邮件 的 数据 内 容 
e。 22.2 MTA 服务 器 : Postfix 基础 设 定 

o 22.2.1 Postfix 的 开发 

o 22.2.2 所 需要 的 软件 与 软件 结构 

o 22.2.3 一 个 邮件 服务 器 的 设 定 案例 

o 22.2.4 让 Postfix 可 监听 Internet 来 收发 信件 : 直接 看 范例 

o 22.2.5 信件 传送 流程 与 收 信 、relay 等 重要 观念 

o 22.2.6 设 定 邮件 主机 权限 与 过 滤 机 制 /etc/postfix/access 

o 22.2.7 设 定 邮件 别名 : /etc/aliases, ~/.forward 

o 22.2.8 察看 信件 队列 信息 : postqueue, mailq 

o 22.2.9 防火 墙 设置 
e。 22.3 MRA 服务 器 : dovecot 设 定 

o 22.3.1 基础 的 POP3/IMAP 设 定 

o 22.3.2 加 密 的 POP3s/IMAPs 设 定 

o 22.3.3 防火 墙 设置 
e 22.4 MUA 软件 : 客户 端的 收发 信 软 件 

o 22.4.1 Linux mail 

o 22.4.2 Linux mutt 

o 22.4.3 Thunderbird 好 用 的 跨 平 台 (Windows/Linux X) 软件 
e@ 22.5 邮件 服务 器 的 进 阶 设 定 

o 22.5.1 邮件 过 滤 一 : 用 postgrey 进行 非 正 规 mail server 的 垃圾 信 抵 挡 

o 22.5.2 邮件 过 滤 二 : 关于 黑 名 单 的 抵挡 机 制 

o 22.5.3 邮件 过 滤 三 : 基础 的 邮件 过 滤 机 制 


O 


O 〇 
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o 22.5.4 非 信 任 来 源 的 Relay : 开放 SMTP 身份 认证 
o 22.5.5 非 固定 IP 邮件 服务 器 的 春天 : relayhost 
o 22.5.6 其 他 设 定 小 技巧 : 单 封 信 容 量 限制 , SMTP 寄 件 备份 , 错误 检查 
22.6 重点 回顾 
22.7 本 章 习题 
22.8 参考 数据 与 延伸 阅读 
22.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=117550 
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22.1 邮件 服务 绒 的 功能 与 运作 原理 


电子 邮件 是 个 啥 玩意 儿 ? 它 是 利用 网 络 传递 一 些 信息 给 远程 服务 器 的 一 种 信息 传递 行为 ， 虽 
然 消 息 正 文 是 很 冷 很 硬 的 计算 机 文字 ， 确 实 比 不 上 手写 信件 来 的 让 人 觉得 温暖 ， 不 过 ， 对 于 
具有 时 效 性 的 信息 来 说 ， 电 子 邮件 可 是 个 不 可 多 得 的 好 帮手 ! 但 是 ， 电 子 邮 件 系 统 过 勃发 展 
的 现在 却 被 某 些 少 部 分 的 特定 人 士 所 乱用 ， 导 致 垃圾 信件 、 色 情 广告 信件 等 等 的 泛滥 | 站 是 
啊 一 伤 脑筋 一 底下 我 们 就 先 来 谈 一 谈 这 个 电子 邮件 相关 的 功能 吧 ! 


Tips: 时 至 今日 ，Google 与 几 个 大 型 的 网 络 公 司 都 有 提供 免费 或 者 是 付费 的 邮件 服务 器 ， 其 
中 ， 免 费 的 电子 邮件 账号 甚至 已 经 提供 高 达 数 个 GB 的 邮件 储存 量 ! 对 于 一 般 用 户 来 说 卜 是 
非常 够 用 了 ! 因此 ， 除 非 必 要 ， 现 在 我 们 都 『 不 建议 您 架设 mail serverJ 的 ! 因为 玩 过 邮件 
主机 的 朋友 都 很 清楚 ， 在 现在 的 环境 当中 想 要 搞定 Mail server 是 很 难 的 一 件 事情 ， 除 了 目前 
网 络 社 会 的 广告 信 、 垃 圾 信 、 病 毒 信 实在 是 多 的 不 象 话 ， 所 以 各 主要 的 ISP 对 于 邮件 控 管 上 
面 越 来 越 严 格 ， 而 且 基 本 功 当 中 的 mail vs. DNS 相关 性 又 太 高 ! 很 难 理解 ~ 


22.1.1 电子 邮件 的 功能 与 问题 


在 目前 的 社会 当中 ， 没 有 电子 邮件 (e-mail) 似乎 是 变 奇 怪 的 一 件 事 ! 可 以 说 ， 现 在 e-mail 已 
经 成 为 一 个 很 普遍 的 人 与 人 之 间 的 沟通 管道 了 ， 电子 邮件 可 以 很 快速 的 帮 你 将 文件 或 讯息 传 
送 到 地 球 上 的 任何 一 个 有 网 络 存在 的 角落 ， 当 然 ， 你 也 可 以 在 任何 有 网 络 的 地 方 ， 连 上 
Internet 去 收取 你 的 信件 ! 


不 过 ， 遗 憾 的 是 ， 只 要 是 有 人 类 的 地 方 ， 就 会 有 很 多 你 意 想 不 到 的 事情 会 出 现 了 ， 当 然 e- 
mail 也 不 例外 ， 怎 么 说 呢 ? 我 们 来 慢 慢 的 分 析 一 下 电子 邮件 产生 的 一 些 问题 吧 : 


e@ 夹带 病毒 的 电子 邮件 问题 : 你 可 以 常常 听 到 电子 邮件 可 能 夹带 病毒 对 吧 ! 没 错 ， 利 用 电 
子 邮 件 以 及 人 们 对 于 电子 邮件 的 漫不经心 的 态度 ， 使 得 以 电子 邮件 为 媒介 的 计算 机 病毒 
更 容易 『 深 入 人 群 」 当中 呐 ! 

e@ 怪 容 透 过 邮件 程序 入 侵 : 只 要 在 Internet 上 面 跑 的 数据 就 没有 绝对 保密 的 1 你 可 以 轻易 

二 二 


的 使 用 怪 客 软件 (Cracker) 就 可 以 取得 使 用 者 在 利用 e-mail 传送 过 程 当中 所 输入 的 账号 
与 密码 ， 若 经 过 分 析 之 后 ， 还 可 能 破 解 对 方 的 邮件 主机 ~ 哇 ! 站 是 乱 可 怕 一 把 的 | 


e@ 广告 信 与 垃圾 信 等 : 这 个 可 说 是 目前 各 大 |SP 心中 永远 的 痛 一 这 些 垃圾 信件 可 以 占 掉 很 
多 那 少 的 可 怜 的 带宽 ， 使 得 正常 用 户 连接 速度 与 质量 下 降 ， 更 可 能 造成 网 络 的 停顿 一 当 
然 ， 常 常 收 到 垃圾 信件 的 你 ， 大 概 也 不 好 过 吧 | 


。 主机 被 大 量 不 明 信 件 塞 爆 : 万 一 你 没有 将 邮件 服务 器 设 定好 ， 嘿 嘿 ! 送信 者 可 以 藉 由 你 
主机 收 信 的 功能 ， 发 送 大 量 的 信件 ， 让 你 『 一 次 收 个 够 1 ]」 灌 爆 你 的 服务 器 硬盘 ， 想 要 
不 当 机 都 粉 难 ~ 


。 音 实 社 会 的 讨厌 情事 : 『 黑 函 1 ! 听 到 会 不 会 很 害怕 ? 当然 很 害怕 啦 ! 偏偏 使 用 e-mail 
就 可 以 作 很 多 的 坏事 ~ 这 昌 是 太 不 道德 了 ~ 


。 不 实 的 信件 内 容 : 只 要 注意 到 消 基 会 的 讯息 就 可 以 知道 啦 ， 不 明 来 源 的 电子 邮件 说 的 内 
容 ， 不 要 轻易 的 相信 ! 因为 很 多 可 是 以 说 传 论 ， 结 果 ， 大 家 都 被 要 了 的 一 例如 ， 你 的 朋 
友 收 到 一 封 信 ， 认 为 『 哇 ! 这 是 大 事情 」 ， 所 以 在 没有 求证 的 情况 下 ， 将 信 『 转 寄 J 给 
你 看 ， 嘿 ! 你 的 朋友 寄 给 你 的 ， 当 然 要 相信 他 啦 | 立刻 再 转 寄 ， 如 此 一 再 地 循环 ， 嘿 
嘿 上 这 个 错误 内 容 的 讯息 马上 就 让 大 家 知道 ， 更 可 怕 的 是 『 还 会 让 大 家 接受 ~ 所 以 ， 
看 到 任何 讯息 时 ， 请 千 万 要 记得 求证 一 下 呐 ! 


可 怕 吧 ! 电子 邮件 会 衍生 出 这 么 多 的 问题 说 ~ 另外， 这 个 email 服务 器 的 设 定 与 管理 站 的 是 
网 管 人 员 心 中 永远 的 痛 ! 为 什么 呢 ? 因为 人 都 是 想 要 越 便利 越 简单 越 好 ， 但 越 便利 越 不 管制 
的 邮件 服务 器 就 越 容易 被 攻击 或 遵 利 用 | 反 过 来 说 ， 如 果 你 针对 邮件 服务 器 管 得 太 严厉 ， 那 
就 不 太 人 性 化 ， 相 信 至 少 您 的 主管 可 能 就 不 太 满意 ， 怎 么 办 了? 


呵呵 上 没 错 啦 ! 邮件 服务 器 就 是 这 么 回 事 ， 让 人 又 爱 又 怕 的 一 个 玩意 儿 ， 搞 定 他 ， 茶 喜 您 啊 
一 切 顺 利 圆满 ! 搞 不 定 人 他， 服务器 被 当成 垃圾 信件 转运 站 事 小 ， 丢 掉 工 作 那 可 是 『 兹 事 体 
大 J 哆 ! 就 因为 他 是 这 么 重要 又 难以 搞定 ， 所 以 我 们 可 得 好 好 的 学 学 他 呐 ! 


22.1.2 Mail server 与 DNS 之 间 的 关系 


既然 要 使 用 e-mail ， 当 然 就 需要 邮件 服务 器 喝 (Mail Server) ! 不 然 你 的 信 要 怎样 寄 出 去 呢 ? 
事实 上 ，mail server 的 原理 说 难 不 难 ， 但 是 说 简单 吗 一 似乎 又 有 点 难以 理解 全 ， 所 以 ， 底 下 
我 们 要 来 谈 一 谈 他 的 原理 部 分 ， 然 后 再 针对 服务 器 的 设 定 来 进行 说 明 咯 ! 我 们 首先 要 讲 的 就 
是 『 Mail server 系统 与 DNS 系统 有 什么 关连 性 ?4 这 个 部 分 新 手 最 容易 被 摘 混 哩 ， 是 否 要 
架设 mail server 就 『 宿 命 〗 的 一 定 得 架设 DNS server 在 你 的 主机 上 面 吗 ? 


e Mail server 与 合法 的 主机 名 


事实 上 目前 已 经 没有 人 会 使 用 IP 来 寄 信 了 ， 我 们 通常 接收 到 的 email 都 是 使 用 『 账 号 @ 主 机 
名 J」 的 方式 来 处 理 的 ， 所 以 说 ， 你 的 邮件 服务 器 『 就 一 定 要 有 一 个 合法 注册 过 的 主机 名 J」 才 
可 以 。 为 什么 呢 ? 了 因为 网 络 恶 意 使 用 与 垃圾 邮件 泛滥 的 种 种 因素 ， 导 致 我 们 不 允许 直接 利用 
主机 的 IP 来 寄 信 了 ， 否 则 每 部 有 IP 的 主机 都 能 寄 信 ... 因此 ， 你 想 要 架设 mail server 就 『 必 
需 1 要 有 合法 的 主机 名 嘿 。 


OK ! 既然 我 只 要 一 个 合法 的 主机 名 即 可 ， 那 么 表示 我 不 需要 架设 一 部 DNS 主机 哩 ? 是 的 ， 
你 可 以 这 样 认为 ! 只 要 你 拥有 合法 的 主机 名 ， 亦 即 在 DNS 的 查询 系统 当中 你 的 主机 名 拥有 一 
个 A 的 标志 ， 理 论 上 你 的 mail server 就 可 以 架设 成 功 。 只 不 过 由 于 目前 因特网 上 面 的 广告 
言 、 垃 圾 信和 与 病毒 信 等 占用 了 太 多 的 带宽 ， 寻 致 整个 网 络 社会 花费 过 多 的 成 本 在 消耗 这 些 垃 
圾 资料 。 所 以 为 了 杜绝 可 恶 的 垃圾 信件 ， 目 前 的 大 型 网 络 供 货 商 (ISP) 都 会 针对 不 明 来 源 的 
邮件 加 以 限制 ， 这 也 就 是 说 『 想 要 架设 一 部 简单 可 以 运作 的 mail server 越 来 越 难 了 」。 


。 DNS 的 反 解 也 很 重要 ! 


对 于 一 般 的 服务 器 来 说 ， 我 们 只 要 使 用 正解 让 客户 端 可 以 正确 的 找到 我 们 服务 器 的 IP 即 可 架 
站 ， 举 例 来 说 WWW 服务 器 就 是 这 样 。 不 过 ， 由 于 目前 收 信 端 的 邮件 服务 器 人 
的 IP 进行 反 解 ， 而 如 果 你 的 网 络 环境 是 由 拨 接 取得 非 国定 的 IP 时， 该 种 IP 在 ISP 方面 通常 
会 主动 的 以 xxx.dynamic.xxx 之 类 的 主机 名 来 管理 ， 偏 偏 这样 的 主机 名 会 被 主要 的 大 型 邮件 服 
务 器 (例如 hotmail, yahoo 等 ) 视 为 垃圾 信件 ， 所 以 你 的 邮件 服务 器 所 发 出 的 信件 将 可 能 被 丢 
弃 ， 那 可 就 伤 脑筋 了 ! 


所 以 啊 ， 如 果 你 想 要 架设 一 部 Mail server 的 话 ， 请 『 务 必 J 向 您 的 上 层 |SP 申请 IP 反 解 的 
对 应 ， 不 要 再 使 用 预 设 的 反 解 主机 名 ， 否 则 很 容易 导致 您 的 邮件 服务 器 所 发 出 的 信件 会 在 
Internet 上 面 流浪 啊 ! 


Tips: 其 实 你 还 是 可 以 不 用 申请 IP 的 反 解 ， 不 过 就 得 要 利用 所 谓 的 relayhost 或 者 是 
smarthost 来 处 理 邮件 转 递 的 问题 ， 这 个 部 分 个 又 涉 步 及 到 上 层 |SP 的 问题 ， 挺 复杂 1 我 们 会 在 
后 续 作 说 明 | 


。 需要 DNS 的 MX 及 A 标 志 啊 (超重 要 的 MX) ! 


么 我 们 的 邮件 服务 器 系统 到 底 是 如 何 使 用 DNS 的 信息 来 进行 邮件 的 传递 的 ?还 记得 在 十 九 
革 DNS 里 面谈 到 的 MX 这 个 标志 吗 ? 当时 我 们 仅 说 过 这 个 MX 代表 的 是 Mail eXchanger ， 
当 一 封 邮件 要 传送 出 去 时 ， 邮 件 主机 会 先 分 析 那 封 信 的 『 目 标 主 机 的 DNS 4」， 先 取得 MX 标 
志 (注意 ，MX 标志 可 能 会 有 多 部 主机 喔 ) 然后 以 最 优先 MX 主机 为 准将 信 发 送出 去 。 看 不 懂 
吗 ? 没 关系 ， 我 们 以 底下 这 个 DNS 范例 来 说 : 


xyz.com.vbird IN MX 10 mail.xyz.com.vbird 
xyz.com.vbird IN MX 20 mail2.xyz.com.vbird 
xyz.com.vbird IN A 人 aaa.bbb.ccc.ddd 


假如 上 述 的 DNS 设 定 是 正常 的 ， 那 么 


。 当 有 一 封 信和 要 传 给 User@xyz.com.vbird 时 ， 由 于 MX 标志 最 低 者 优先 ， 所 以 该 封 信 会 先 
传送 到 mail.xyz.com.vbird 那 部 主机 。 


e。 如 果 mail.xyz.com.vbird 由 于 种 种 原因 ， 导 致 无 法 收 下 该 封 信 时 ， 该 封 信 将 以 次 要 MX 主 
机 来 传送 ， 那 就 是 传送 到 mail2.xyz.com.vbird 那 部 主机 上 头 ; 

e。 如 果 两 部 MX 主机 都 无 法 负责 的 话 ， 那 么 该 封 信 会 直接 以 A 的 标志 ， 亦 即 直 接 传送 到 
aaa.bbb.ccc.ddd 那个 IP 上 头 去 ， 也 就 是 xyz.com.vbird 本 身 啦 ! 


在 这 个 过 程 当 中 ， 你 必需 要 注意 到 : mail.xyz.com.vbird 及 mail2.xyz.com.vbird 必需 要 是 可 以 
帮 xyz.com.vbird 转 信 的 主机 才 行 ， 也 就 是 说 ， 那 两 部 主机 通常 是 你 公司 的 最 上 游 的 邮件 主 
机 ， 并 不 是 你 随意 填写 的 ! 那 两 部 主机 还 需要 针对 你 的 xyz.com.vbird 来 设 定 『 邮 件 转 递 J 
才 行 ! 否则 你 的 信 会 被 踢 掉 的 。 


由 于 现在 的 很 多 邮件 服务 器 会 去 搜寻 MX 这 个 标志 来 判断 目标 邮件 服务 器 是 否 为 合法 ， 所 以 
你 要 架设 Mail server 虽然 不 必 自 行 设 定 DNS 服务 器 ， 不 过 你 最 好 要 申请 一 个 MX 的 标志 
行 。 此 外 ，MX 标志 一 定 要 设 定 正确 ， 否 则 你 的 信件 将 可 能 会 直接 被 MX 服务 器 踢 掉 。 为 了 要 
设 定 MX 但 是 我 们 没有 上 层 邮 件 服务 器 时 ， 所 以 你 可 以 指定 MX 为 自己 ， 利 用 自己 当 MX 服 
务 器 即 可 。 


那么 你 或 许 会 起， 这 个 MX 有 啥 好 处 啊 ? 一 般 来 说 ， 如 果 目 标 主机 挂 点 时 ， 你 的 邮件 通常 会 
直接 退还 给 原 发 信者 ， 但 如 果 有 MX 主机 时 ， 这 部 MX 主机 会 先 将 该 封 信 放 在 他 的 队列 
(queue) 当中 ， 等 到 你 的 目标 主机 重新 提供 邮件 服务 后 ，MX 主机 会 将 你 的 信件 传送 给 目标 主 
机 ， 如 此 一 来 你 的 信件 就 比较 不 会 遗失 啊 | 这 样 说 ， 您 可 以 了 解 吧 1 ^ 人 和 


。 Email 的 地 址 写法 


刚刚 上 头 说 过 email 通常 是 『 账 号 @ 主 机 名 J 的 方式 来 处 理 ， 举 例 来 说 乌 哥 的 
www.centos.vbird 主机 上 面 有 个 dmtsai 的 使 用 者 ， 则 我 的 email 将 会 成 为 : 
『dmtsai@www.centos.vbirdJ ， 当 有 人 要 寄 信 给 我 时 ， 他 会 分 析 @ 后 面 的 主机 名 ， 亦 即 
www.centos.vbird 的 MX/A 标志 等 等 ， 然 后 再 透 过 刚刚 说 明 的 流程 来 传 出 信件 。 而 当 我 的 
www.centos.vbird. 收 到 这 封 信 时 ， 他 会 将 信 放 到 dmtsai 的 信箱 当中 啦 ! 底下 我 们 就 来 谈 一 谈 


这 个 流程 吧 | 


22.1.3 邮件 传输 所 需要 的 组 件 (MTA, MUA, MDA) 以 及 相关 协议 


在 开始 介绍 邮件 的 传送 过 程 之 前 ， 我 们 先 来 想 一 想 ， 你 是 如 何 寄 出 电子 邮件 的 ? 假设 你 要 寄 
信 给 一 个 使 用 者 ， 他 的 电子 邮件 是 『a_user@gmail.comJ 好 了 ， 也 就 是 说 ， 你 要 寄 一 封 信 到 
gmail.com 这 个 主机 上 的 意思 。 那 你 的 桌面 计 草 机 (举例 来 说 ， Windows 系统 ) 是 否 能 够 将 这 
封 信 『 直 接 J 透 过 网 络 送 给 gmail.com 那个 主机 上 ? 当然 不 行 ! 你 得 要 设 定 帮 你 转 信 的 邮 
件 服 务 器 才 行 ! 也 就 是 说 ， 你 必需 要 先 向 某 一 部 邮件 服务 器 注册 ， 以 取得 一 个 合法 的 电子 邮 
件 权 限 后 ， 才 能 够 发 送 邮 件 出 去 的 。 


所 以 说 ， 你 要 寄 出 一 封 信件 时 是 需要 很 多 接口 的 帮忙 的 ， 底 下 列 出 一 个 简单 的 图 示 来 说 明 : 
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图 22.1-1、 电 子 邮 件 的 
『 传 送 」 过 程 示意 图 


我 们 先 来 解释 一 些 专 有 名 词 吧 ! 然后 再 来 说 明 传 送 的 流程 


1. MUA (Mail User Agent) : 


顾名思义 MUA 就 是 『 邮 件 使 用 者 代理 人 4 的 意思 ， 因 为 除非 你 可 以 直接 利用 类 似 telnet 

et 来 主动 发 出 信件 ， 否 则 您 就 得 要 透 过 MUA 来 帮 你 送信 到 邮件 

服务 器 上 头 去 。 见 的 MUA 像 是 Mozilla 推出 的 Thunderbird ( 雷 鸟 ) 自由 软件 ， 或 者 

是 Linux 课 面 KDE 党 Py Kmail ， 及 Windows 内 件 的 Outlook Express (OE) 等 MUA 
主要 的 功能 就 是 收受 邮件 主机 的 电子 邮件 ， 以 及 提供 用 户 浏览 与 编写 邮件 的 功能 ! 


2. MITIA (Mail Transfer Agent) : 


MUA 帮 用 户 传送 邮件 到 邮件 主机 上 ， 那 这 部 邮件 主机 如 果 能 够 帮 用 户 将 这 封 信 寄 出 去 ， 
那 他 就 是 一 部 邮件 传送 主机 (MTA) 啦 ! 这 个 MTA 就 是 『 邮 件 传送 代理 人 J」 的 意思 。 也 来 
顾名思义 一 下 ， 有 既然 是 『 传 送 代理 人 J4， 那 么 使 用 者 寄 出 的 信 ， 帮 用 户 将 属于 该 用 户 的 
信件 收 下 时 ， 就 是 找 它 (MTA) 就 对 啦 ! 基本 上 ，MTA 的 功能 有 这 


ij， 收受 信件 : 使 用 简单 邮件 传送 协议 (SMTP) MTA 主机 最 主要 的 功能 就 是 : 将 来 自 客 
户 端 或 者 是 其 他 MTA 的 来 信 收 下 来 ， 这 个 时 候 MTA 使 用 的 是 Simple Mail Transfer 
Protocol (SMTP)， 他 使 用 的 是 port 25 听 1 


ii、 转 递 信件 : 如 果 该 封 信件 的 目的 地 并 不 是 本 身 的 用 户 ， 且 该 封 信 的 相关 数据 符合 使 
用 MTA 的 权力 ， 那 么 咱们 的 MTA 就 会 将 该 封 信 再 传送 到 下 一 部 主机 上 。 这 即 是 所 
谓 的 转 递 (Relay) 的 功能 。 


总 之 ， 我 们 一 般 提 到 的 Mail Server 就 是 MTA 啦 ! 而 严格 来 说 ，MTA 其 实 仅 是 指 
SMTP 这 个 协议 而 已 。 而 达成 MTA 的 SMTP 功能 的 主要 软件 包括 老牌 的 
sendmail， 后 起 之 秀 的 postfix， 还 有 qmail 等 等 。 底 下 我 们 来 看 看 ， 那 么 在 MTA 上 
头 还 有 哪些 重要 的 功能 。 


3. MDA (Mail Delivery Agent) : 


字面 上 的 意思 是 『 邮 件 递送 代理 人 4 的 意思 。 事 实 上 ， 这 个 MDA 是 挂 在 MTA 底下 的 一 
个 小 程序 ， 最 主要 的 功能 就 是 : 分 析 由 MTA 所 收 到 的 信件 表 头 或 内 容 等 数据 ， 来 决定 
这 封 邮件 的 去 向 。 所 以 说 ， 上 面 提 到 的 MTA 的 信件 转 递 功能 ， 其 实 是 由 MDA 达成 的 。 
举例 来 说 ， 如果 MTA 所 收 到 的 这 封 信 目标 是 自己 ， 那 么 MDA 会 将 这 封 信 给 他 转 到 使 用 
者 的 信箱 (Mailbox) 去 ， 如 果 不 是 呢 ? 那 就 准备 要 转 递 出 去 了 。 此 外 ，MDA 还 有 分 析 与 
过 滤 邮 件 的 功能 喔 ! 举例 来 说 : 

i， 过 滤 垃 圾 信件 : 可 以 根据 该 封 邮 件 的 表 头 资料 ， 或 者 是 特定 的 信件 内 容 来 加 以 分 析 
过 滤 。 例 如 某 个 广告 信 的 主题 都 是 固定 的 ， 如 『AV 情 色 ...」 等 等 ， 那 就 可 以 透 过 
MDA 来 过 滤 并 去 除 该 邮件 。 

ii， 自 动 回复 : 如 果 您 出 差 了 导致 某 一 段 时 间 内 无 法 立即 回信 时 ， 就 可 以 透 过 MDA 的 
功能 让 邮件 主机 可 以 自动 发 出 回复 信件 ， 如 此 您 的 朋友 就 不 会 认为 你 太 大 牌 !^ 人 人 ^ 
各 主要 的 MTA 程序 (sendmail,postfix...) 都 有 自己 的 MDA 功能 ， 不 过 有 些 外 挂 的 程 
序 功能 更 强大 ， 举 例 来 说 procmail 就 是 一 个 过 滤 的 好 帮手 ， 另 外 Mailscanner + 
Spamassassion 也 是 可 以 使 用 的 一 些 MDA 吗 。 


4. Mailbox : 


就 是 电子 邮件 信箱 嘛 ! 简单 的 说 ， 就 是 某 个 账号 专用 的 信件 收受 档案 嘿 。 我 们 的 Linux 
系统 默认 的 信箱 都 是 放 在 /var/spool/mail/ 使 用 者 账号 中 ! 若 MTA 所 收 到 的 信件 是 本 机 
的 使 用 者 ，MDA 就 会 将 信件 送 到 该 mailbox 当中 去 嘿 ! 


好 了 ， 那 么 来 想 一 想 ， 你 如 何 透 过 MUA 来 将 信件 送 到 对 方 的 邮件 信箱 (Mailbox) 去 呢 ? 
。 Step 0 : 取得 茶 部 MTA 的 权限 : 


就 如 图 22.1-1 所 示 ， 我 们 本 地 端的 MUA 想 要 使 用 MTA 来 传 出 信件 时 ， 当 然 需要 取得 
MTA 的 权限 。 通 常 就 是 说 : 我 们 必须 要 向 MTA 注册 一 组 可 使 用 email 的 账号 与 密码 才 
行 。 

e。 Step 1 : 使 用 者 在 MUA 上 编写 信件 后 ， 传 送 至 MTA 上 头 : 
使 用 者 在 MUA 上 面 编 写 信 件 ， 信 件 的 数据 主要 有 : 


o 信件 标 头 : 包括 发 件 人 与 收 件 者 的 email 地 址 ， 还 有 该 封 信件 的 主旨 (subject) 等 ; 
o 信件 内 容 : 就 是 你 要 跟 对 方 说 明 的 内 容 啦 1 编写 完毕 之 后 只 要 按 下 传送 钮 ， 该 封 信 


就 会 送 至 你 的 MTA 服务 器 上 面 了 ， 注 意 : 是 你 的 MTA 而 不 是 对 方 的 MTA ! 如 果 你 
确定 可 以 使 用 该 部 MTA， 那 么 你 的 这 封 信 就 会 被 放置 到 MTA 的 队列 (queue) 当中 并 
等 待 传送 出 去 了 。 
。 Step 2.1 : 如 果 该 封 信 的 目标 是 本 地 端 MTA 自己 的 账号 
你 是 可 以 寄 信 给 你 自己 的 ， 所 以 如 果 你 的 MTA 收 到 该 封 信 件 的 目标 是 自己 的 用 户 时 ， 那 
就 会 透 过 MDA 将 这 封 信 送 到 Mailbox 去 哆 ! 
。 Step 2.2 : 如 果 该 封 信 目 的 为 其 他 MTA， 则 开始 转 递 (Relay) 的 流程 : 
那 如 果 这 封 信 的 目标 是 其 他 的 主机 呢 ? 这 个 时 候 我 们 的 MTA 就 会 开始 分 析 该 封 信 是 否 具 
有 合法 的 权限 ， 若 具有 权限 时 ， 则 我 们 的 MDA 会 开始 进行 邮件 转 递 ， 亦 即 该 封 信件 会 
透 过 我 们 的 MTA 向 下 一 部 MTA 的 smtp (port 25) 发 送出 去 。 如 果 该 封 信件 顺利 的 发 送出 
去 了 ， 那 么 该 封 信件 就 会 由 队列 当中 移 除 掉 了 。 
e。 Step 3 : 对 方 MTA 服务 器 收受 信件 
如 果 一 切 都 没有 问题 的 话 ， 远 程 的 MTA 会 收 到 我 们 MTA 所 发 出 的 那 封 信 ， 并 将 该 信件 
放置 到 正确 的 使 用 者 信箱 当中 ， 等 待 使 用 者 登入 来 读 取 或 下 载 。 
在 这 整个 过 程 当 中 ， 你 会 发 现 你 的 信件 是 由 我 们 的 MTA 帮忙 发 送出 去 的 ， 此 时 MTA 提供 的 
协议 是 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, smtp)， 并且 该 封 信 最 终 是 停留 在 
对 方 主机 的 MTA 上 头 ! 并 不 是 你 朋友 的 MUA 上 头 啊 ! 


Tips: 为 何 特别 强调 这 一 点 ? 因为 以 前 有 个 朋 有 跟 我 说 : 『 乌 可 啊 ， 你 要 寄 email 给 我 的 时 候 
记得 跟 我 讲 ， 那 我 下 班 前 将 计 莫 机 开 着 ， 以 免 你 信 寄 不 到 我 的 信箱 」， 此 时 额头 三 条 线 突然 
跑 出 来 ~ 很 不 好 意思 ~ 所 以 这 里 才 要 特别 强调 ， 你 的 MUA 不 必 开 着 啦 ! 要 收 信 时 再 打开 即 
可 。 





了 解 了 传送 信件 时 MTA 需要 启动 smtp (port 25) 之 后 ， 再 来 我 们 得 要 谈 谈 那 这 封 信 件 对 方 要 
如 何 接收 啊 ? 


22.1.4 使 用 者 收 信 时 服务 器 端 所 提供 的 相关 协议 : MRA 


那 使 用 者 如 果 想 要 收 信 时 ， 当 然 也 可 以 透 过 MUA 直接 来 联机 取得 自己 的 邮件 信箱 内 的 数据 
啊 | 整个 过 程 有 点 像 底下 这 样 : 
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eR 晤 se 情 扎 图 22.1-2、 客 户 端 透 过 MRA 收 
回信 件 的 流程 示意 图 


在 上 述 的 图 示 中 ， 多 了 一 个 邮件 组 件 ， 那 就 是 MRA : 
1. MRA (Mail Retrieval Agent) : 


使 用 者 可 以 透 过 MRA 服务 器 提供 的 邮政 服务 协议 (Post Office Protocol, POP) 来 收 下 自 
己 的 信件 ， 也 可 以 透 过 IMAP (Internet Message Access Protocol) 协议 将 自己 的 信件 保 
留 在 邮件 主机 上 面 ， 并 进一步 建立 邮件 数据 原 等 进 阶 工作 。 也 就 是 说 ， 当 客户 端 收 受信 
件 时 ， 使 用 的 是 MRA 的 POP3, IMAP 等 通讯 协议 ， 并 非 MTA 的 SMTP 吕 ! 


我 们 先 谈 一 谈 POP3 的 收 信 方 式 吧 : 


1. MUA 透 过 POP3 (Post Office Protocol version 3) 的 协议 连接 到 MRA 的 port 110 ， 并 且 
输入 账号 与 密码 来 取得 正确 的 认证 与 授权 ; 

2，MRA 确认 该 用 户 账号 /密码 没有 问题 后 ， 会 前 往 该 使 用 者 的 Mailbox (/var/spool/mail/ 使 用 
者 账号 ) 取得 使 用 者 的 信件 并 传送 给 用 户 的 MUA 软件 上 ; 

3， 当 所 有 的 信件 传送 完毕 后 ，<Uu> 用 户 的 mailbox 内 的 数据 将 会 被 删除 </u> ! 


在 上 述 的 流程 当中 我 们 知道 MRA 必须 要 启动 POP3 这 个 协议 才 行 ， 不 过 这 个 协议 的 收 件 方 

式 比较 有 趣 ， 因 为 使 用 者 收 信和 是 由 第 一 封 信件 开始 收 下 直到 最 后 一 封 信件 传输 完毕 为 止 。 不 
过 由 于 某 些 MUA 程序 撰写 的 问题 ， 若 有 些 邮 件 有 病毒 的 可 能 性 时 ， 透 过 防 病毒 软件 将 可 能 < 
致 该 MUA 软件 的 断 线 ! 如 此 一 来 由 于 传输 没有 完毕 ， 因 此 MRA 主机 并 不 会 将 用 户 的 信件 删 
除 。 此 时 如 果 使 用 者 又 再 一 次 的 按 下 接收 按键 ， 呵 呵 ! 原来 已 接收 的 信件 又 会 重复 收 到 ， 而 
没有 收 到 的 还 是 收 不 到 ! 


这 个 时 候 或 许 你 可 以 透 过 登入 主机 利用 mail 这 个 指令 来 处 理 你 有 问题 的 邮件 ， 或 许 换 一 种 
MUA 也 是 个 不 错 的 思考 方向 ， 又 或 者 暂时 将 防 病毒 软件 关 掉 也 是 可 以 考虑 的 手段 之 一 。 转 头 
过 来 想 一 想 ， 因 为 POP3 的 协议 预 设 会 将 信件 删除 ， 那 如 果 我 今天 在 办 公 室 将 我 的 信 收 到 办 
公 室 的 计算 机 中 ， 当 我 回 家 时 再 度 启动 MUA 时 ， 是 否 能 够 收 到 已 经 被 接收 的 信件 ? 当然 不 
行 ， 对 吧 | 


或 许 你 需要 更 有 帮助 的 协议 ， 亦 即 IMAP (Internet Messages Access Protocol) ， 这 个 协议 可 
以 让 你 将 mailbox 的 数据 转 存 到 你 主机 上 的 家 目录 ， 亦 即 /home/ 账 号 / 那个 目录 下 ， 那 你 不 
但 可 以 建立 邮件 数据 原 ， 也 可 以 针对 信件 分 类 管理 ， 而且 在 任何 一 个 可 连 上 网 络 的 地 方 你 只 
要 登入 主机 ， 原 本 的 信件 就 还 是 存在 呐 ! 真是 好 啊 ! 


不 过 ， 使 用 IMAP 时 ， 用 户 的 目录 最 好 能 够 加 点 限制 ， 例 如 利用 quota 来 管理 用 户 的 硬盘 权 
限 ， 和 否则 因为 信件 都 在 主机 上 头 ， 如 果 用 户 过 多 且 误 用 时 ， 你 的 硬盘 空间 会 被 吃 光 光 喔 ! 注 


> 
意 注 意 | 


OK ! 透 过 上 面 的 说 明 你 要 知道 ， 要 架设 一 部 可 以 使 用 MUA 进行 收发 信件 的 MTA, MRA 服务 
器 ， 你 至 少 也 需要 局 动 SMTP 以 及 POP3 这 两 个 协议 才 行 1 而 这 两 个 协议 的 启动 程序 并 不 相 
同 ， 所 以 架设 上 还 是 得 要 小 心 注意 啊 |! 


。 pop3s, imap2 与 SMTP 的 困扰 


邮件 数据 在 因特网 上 面 传输 时 ， 透 过 的 SMTP, POP3, IMAP 等 通讯 协议 ， 通 通 是 明码 传输 
的 ! 尤其 POP3, IMAP 这 两 个 通讯 协议 中 ， 使 用 者 必须 要 输入 账号 /密码 才能 收受 信件 ! 因为 
涉及 帐 密 ， 所 以 当然 加 密 这 两 个 通讯 协议 的 数据 较 佳 ! 于 是 就 有 了 POP3s, IMAPs 通讯 协议 
出 现 了 ! 透 过 SSL 加 密 嘛 ! 那 你 会 问 ， 既 然 已 经 有 pop3s, imaps 了 ， 那 有 没有 smtps 呢 ? 
答案 是 ， 当然 有 ! 只 不 过 没 人 用 ! 


从 图 22.1-1 及 图 22.1-2 的 流程 来 看 ，POP3, IMAP 只 与 MRA 及 自己 的 用 户 有 关 ， 因 此 你 只 
要 跟 你 的 用 户 说 ， 你 服务 器 使 用 的 MRA 协议 为 何 ， 通 知 你 的 用 户 改 变 即 可 ， 并 不 会 影响 到 其 
他 的 服务 器 。 但 是 MTA 就 不 同 了 ! 因为 MTA 必须 与 其 他 的 MTA 沟通 ， 因 此 ， 若 你 使 用 了 
smtps ， 那 么 全 世界 与 你 的 MTA 沟通 者 ， 通 通 需 要 改变 为 smtps 通讯 协议 才 行 ! 这 个 工程 
实在 太 浩大 了 ! 目前 还 没有 任何 一 家 |SP 有 能 力 进行 ! 所 以 ， 就 造成 目前 没有 SMTPs 的 协 
议 哩 。 


那么 难道 你 的 数据 就 一 定 要 是 明码 吗 ? 那 倒 不 见得 ~ 既然 你 的 MTA 无 法 加 密 ， 那 么 你 就 自己 
将 邮件 数据 加 密 后 ， 再 交 由 MTA 传送 即 可 1 这 也 是 目前 很 多 急需 加 密 数 据 的 邮件 用 户 所 使 用 
的 手段 啦 1^ 人 人 ^ 


22.1.5 Relay 与 认证 机 制 的 重要 性 


当 你 需要 MTA 帮 你 将 信 寄 送 到 下 一 部 MTA 去 时 ， 这 个 动作 就 称 为 邮件 转 递 (Relay) 史 ， 那 就 
是 图 22.1-1 当 中 的 Step 2.2 那个 动作 啦 。 那 么 我 们 来 想 一 想 ， 如 果 『 所 有 的 人 都 可 以 藉 由 这 
一 部 MTA 帮忙 进行 Relay 时 ， 这 个 情况 称 之 为 Open Relay 的 动作 1 。 当 你 的 MTA 发 生 
Open Relay 时 ， 会 有 什么 问题 ? 问题 可 就 大 了 ! 


当 你 的 MTA 由 于 设 定 不 良 的 关系 导致 具有 Open Relay 的 状况 ， 加 上 你 的 MTA 确实 是 连 上 因 
特 网 时 ， 由 于 因特网 上 面 用 port scan 软件 的 闲人 大多， 你 的 MTA 具有 Open Relay 的 功能 
这 件 事情 ， 将 会 在 短 时 间 内 就 被 很 多 人 察觉 ， 此 时 那些 不 法 的 广告 信 、 色 情 垃圾 信 业 者 将 会 


利用 你 的 这 部 Open Relay MTA 发 送 他 们 的 广告 ， 所 以 你 会 发 生 的 问题 至 少 有 : 


。 你 主机 所 在 的 网 域 正 常 使 用 的 连接 速度 将 会 变 慢 ， 因 为 网 络 带宽 都 被 广告 、 垃 圾 信 吃 光 


也 
e 你 的 主机 可 能 由 于 大 量 发 送信 件 导 致 主机 资源 被 耗 尺 ， 容 易 产 生 不 明 原 因 当 机 之 类 的 问 
题 ; 


你 的 MTA 将 会 被 因特网 社会 定义 为 『 黑 名 单 」， 从 此 很 多 正常 的 邮件 就 会 无 法 收发 ; 

你 MTA 所 在 的 这 个 IP 将 会 被 上 层 ISP 所 封锁 ， 直 到 你 解决 这 个 Open Relay 的 问题 为 

止 ; 

。 某 些 用 户 将 会 对 你 的 能 力 产 生 质疑 ， 对 您 公司 或 者 是 你 个 人 将 会 有 信心 障碍 ! 甚至 可 能 
流失 客 源 ; 

。 如 果 你 的 MTA 被 利用 来 发 黑 函 ， 你 是 找 不 到 原 发 信者 的 ， 所 以 你 这 部 MTA 将 会 被 追踪 

为 最 终 站 ! 


问题 很 大 哆 ! 所 以 啊 ， 目 前 所 有 的 distributions 都 一 样 ， 几 乎 都 将 MTA 预 设 启动 为 仅 监听 内 

部 循环 接口 (lo) 而 已 ， 而 且 也 将 Open Relay 的 功能 取消 了 。 了 既然 取消 Open Relay 的 功能 ， 

那么 怎么 使 用 这 部 MTA 的 Relay 来 帮忙 转 信 啊 ? 呵 呵 ! 所 以 我 们 在 上 头 才 会 一 直 说 ， 你 『 必 
需 」 取得 合法 使 用 该 MTA 的 权限 啊 ! 这 也 就 是 说 ， 设 定 谁 可 以 使 用 Relay 的 功能 就 是 我 们 管 
理 员 的 任务 啦 ! 通常 设 定 Relay 的 方法 有 这 几 种 : 


e 规定 某 一 个 特定 客户 端的 IP 或 网 段 ， 例 如 规定 内 部 LAN 的 192.168.1.0/24 可 使 用 
Relay ; 

。 若 客户 端的 IP 不 国定 时 (例如 拨 接 取得 的 非 国定 IP) 可 以 利用 认证 机 制 来 处 理 。 

。 将 MUA 架设 在 MTA 上 面 ， 例 如 OpenWebMail 之 类 的 Web 接口 的 MUA 功能 。 


本 
币 
制 ， 基 本 上 都 是 透 过 让 使 用 者 输入 认证 用 的 账号 与 密码 ， 来 确定 他 有 合法 使 用 该 MTA 的 权 
限 ， 然 后 针对 通 

Relay ， 并 且 客 


" 罗 | A 和 


认证 机 制 上 面 常 见 的 有 SMTP 邮件 认证 机 制 ， 以 及 SMTP after POP 两 种 ， 不 论 是 哪 一 种 机 
过 


:天 
寸 认证 者 开启 Relay 的 支持 就 是 了 。 如 此 一 来 你 的 MTA 不 再 启动 Open 
端 还 是 可 以 正常 的 利用 认证 机 制 来 收发 信件 ， 身 为 管理 员 的 你 可 就 轻松 多 


22.1.6 电子 邮件 的 数据 内 容 


看 过 上 头 的 数据 后 ， 您 应 该 对 于 Mail server 有 一 些 程度 的 认识 了 。 再 来 要 谈 的 是 ， 那 么 一 封 
email 的 内 容 有 哪些 部 分 呢 ? 就 跟 人 类 社会 的 邮件 有 信封 袋 以 及 内 部 的 信纸 一 样 ，email 也 有 
所 谓 的 标 头 (header) 以 及 内 容 (body) 两 部 份 喔 ! 


email 的 标 头 部 分 (类 似 邮 件 信 封 ) 会 有 几 个 重要 人 信息， 包括 : 这 封 信 来 自 那 个 MTA、 是 由 谁 


所 发 送出 来 的 、 要 送 给 谁 、 主 旨 为 何等 等 ， 至 于 内 容 (类 似 信封 内 的 信纸 ) 则 是 发 信者 所 填写 
的 一 些 说 明史 。 如 果 你 使 用 dmtsai 的 身份 下 达 这 个 指令 : 


[dmtsai@www ~]$ echo "HaHa.." &#124; mail -s "from vbird" dmtsai 


然后 将 自己 的 信箱 内 容 叫 出 来 ， 如 下 所 示 : 


[dmtsai@www ~]$ cat /var/spool/mail/dmtsai 
From dmtsai@www.centos.vbird Mon Aug 8 18:53:32 2011 &lt;== 发 信者 的 email 
Return-Path: &lt;dmtsai@www.centos.vbird&gt; &1t ; == 这 封 信 的 来 源 
X-Original-To: dmtsai 
Delivered-To: dmtsaiQ@Qwww.centos,.vbird 
Received: by www.centos.vbird (Postfix, from userid 2007) 
id 6D1C8366A; Mon, 8 Aug 2011 18:53:32 +0800 (CST) &1lt;== 邮 件 ID 
# 这 部 份 主要 在 讲 这 封 email 的 来 源 与 目标 收 件 者 MTA 在 哪里 的 信息 一 


Date: Mon, 08 Aug 2011 18:53:32 +0800 &1t ;== 收 到 信件 的 日 期 
To: dmtsai@www.centos.vbird &1t ;== 收 件 者 是 谁 啊 | 
Subject: from vbird &1t ;== 就 是 信件 标题 


User-Agent: Heirloom mailx 12.4 7/29/08 

MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 

Content-Transfer-Encoding: 7bit 

Message-Id: &lt;20110808105332.6D1C8366A@www.centos.vbird&gt; &1t;== 给 机 器 看 的 邮件 ID 
From: dmtsai@www.centos.vbird &1t ;== 发 信者 是 谁 啊 ! 


HaHa.. 


由 原本 的 信件 内 容 我 们 可 以 看 到 email 确实 是 两 部 份 ， 在 标 头 部 分 记录 了 比较 详细 的 收 、 发 
件 者 数据 ， 以 及 相关 的 来 源 、 目 标 之 MTA 信息 等 等 。 但 你 要 注意 的 是 ， 那 个 
『Received:...4 那 一 行 资 料 是 『 会 变动 的 」 ， 如 同 前 面谈 到 的 MX 标志 ， 如 果 一 封 信 由 
MUA 传送 到 MTA 在 由 MTA 传送 到 MX 主机 后 ， 才 传送 到 最 终 的 MTA 时 ， 那 么 这 个 
Received: 的 数据 将 会 记录 每 一 部 经 手 过 的 MTA 信息 喔 ! 所 以 你 可 以 借 着 这 个 记录 数据 慢 慢 
的 找 回 这 封 信 的 传递 方向 呢 ! 

此 外 ， 这 个 邮件 的 标 头 以 及 内 容 的 分 析 部 分 ， 你 还 可 以 藉 由 某 些 分 析 软 件 来 进 ， wi 


FE 
份 我 们 将 在 后 头 再 慢 慢 的 介 ee ， 以 后 
咱们 再 慢 慢 的 解释 嘿 ! 


22.2 MTA 服务 医 : Postfix 基础 设 定 


可 达成 MTA 的 服务 器 软件 非常 多 ， 例 如 我 们 的 CentOS 预 设 就 提供 了 数 十 年 老牌 子 的 
sendmail (http://www.sendmail.org) 以 及 近期 以 来 很 热门 的 Postfix (http://www.postfix.org)。 
虽然 sendmail 曾 是 最 为 广泛 使 用 的 mail server 软件 ， 但 由 于 sendmail 的 配置 文件 太 过 于 难 
懂 ， 以 及 早期 的 程序 漏洞 问题 导致 的 主机 安全 性 缺失 ; 加 上 sendmail 将 所 有 的 功能 都 统合 在 
/usr/sbin/sendmail 这 个 程序 当中 ， 导 致 程序 太 大 可 能 会 有 效能 方面 的 疑虑 等 等 ， 所 以 新 版 的 
CentOS 已 经 将 预 设 的 mail server 调整 为 postfix 史 ! 我们 这 里 也 主要 介绍 postfix。 当 然 啦 ， 
原理 方面 都 一 样 ， 您 也 可 以 自己 玩 玩 其 他 的 mail server 。 


22.2.1 Postfix 的 开发 


Postfix 是 由 Wietse Zweitze Venema 先生 (http://www.porcupine.org/wietse) 所 发 展 的 。 早 期 
的 mail server 都 是 使 用 sendmail 架设 的 ， 还 丨 的 是 『 仅 此 一 家 ， 绝 无 分 号 」 ! 不 过 ， 
Venema 博士 觉得 sendmail 虽然 很 好 用 ， 但 是 毕 竞 不 够 安全 ， 尤 其 效能 上 面 并 不 十 分 的 理 
想 ， 最 大 的 困扰 是 ...sendmail 的 配置 文件 sendmail.cf 申 的 是 太 难 懂 了 | 对 于 网 管 人 员 来 说 ， 
要 设 定好 sendmail.cf 这 个 档案 ， 趴 不 是 人 作 的 工作 。 


为 了 改善 这 些 问题 ，Venema 博士 就 在 1998 年 利用 他 老大 在 IBM 公司 的 第 一 个 休假 年 进行 
一 个 计划 : 『 设计 一 个 可 以 取代 sendmail 的 软件 套件 ， 可 以 提供 网 站 管理 员 一 个 更 快速 、 
更 安全 、 而 且 完 全 兼容 于 sendmail 的 mail server 软件 1! 」 这 个 计划 还 真 的 成 功 了 1 而 且 也 
成 功 的 使 用 在 IBM 内 部 ， 在 IBM 内 可 以 说 是 完全 取代 了 sendmail 这 个 邮件 服务 器 ! 在 这 个 
计划 成 功 之 后 ，Venema 博士 也 在 1998 年 首次 释 出 这 个 自行 发 展 的 邮件 服务 器 ， 并 定名 为 
VMailer ° 


不 过 ，IBM 的 律师 却 发 现 一 件 事 ， 那 就 是 VMailer 这 个 名 字 与 其 他 已 注册 的 商标 很 类 似 ， 这 
样 可 能 会 引起 一 些 注册 上 面 的 困扰 。 为 了 避免 这 个 问题 ， 所 以 Venema 博士 就 将 这 个 邮件 软 
件 名 称 改 为 Postfix ! 『Post 有 在 什么 什么 之 后 」 的 意思 ，『fix 则 是 修订 2 的 意思 ， 所 以 
postfix 有 『 在 修订 之 后 」 的 意思 。 


鸟 哥 个 人 认为 ，Venema 先生 最 早 的 构想 并 不 是 想 要 『 创 造 一 个 全 新 的 Mail server 软件 ， 而 
是 想 要 制造 一 个 可 以 完全 兼容 于 sendmail 的 软件 ， 所 以 ，Venema 先生 认为 他 自行 发 展 的 
软件 应 该 是 『 改 良 sendmail 的 缺失 4 ， 所 以 才 称 为 Postfix 吧 ! 取 其 意 为 : 『 改 良 了 
sendmail 之 后 的 邮件 服务 器 软件 1 


所 以 啦 ，Postfix 设计 的 理念 上 面 ， 主 要 是 针对 『 想 要 完全 兼容 于 sendmailJ 所 设计 出 来 的 一 
款 『 内 在 部 分 完全 新 颖 」 的 一 个 邮件 服务 器 软件 。 就 是 由 于 这 个 理念 ， 因 此 Postfix 改善 了 
sendmail 安全 性 上 面 的 问题 ， 改 良 了 mail server 的 工作 效率 ， 且 让 配置 文件 内 容 更 具 亲 和 
力 ! 因此 ， 你 可 以 轻易 的 由 sendmail 转换 到 Postfix 上 面 ! 这 也 是 当初 Venema 博士 的 最 初 
构想 啊 ! 


就 是 基于 这 个 构想 ， 所 以 Postfix 在 外 部 配置 文件 案 的 支持 度 ， 与 sendmail 几乎 没有 两 样 ， 
同样 的 支持 aliases 这 个 档案 ， 同 样 的 支持 ~/.forward 这 个 档案 ， 也 同样 的 支持 SASL 的 
SMTP 邮件 认证 功能 等 等 | 所 以 ， 呵 呵 | 赶紧 来 学 一 学 怎样 架设 Postfix 这 个 相当 出 色 的 邮件 
服务 器 吧 | AA 


22.2.2 所 需要 的 软件 与 软件 结构 


由 于 CentOS 6.x 预 设 就 是 提供 postfix 的 ! 所 以 根本 无 须 调 整 啥 吹 吹 一 直接 来 使 用 吧 ! 那么 
postfix 有 哪些 重要 的 配置 文件 呢 ? 他 主要 的 配置 文件 都 在 /etc/postfix/ 当中 ， 详 细 的 档案 内 容 
就 让 我 们 来 谈 谈 : 


。 /etc/postfix/main.cf 这 就 是 主要 的 postfix 配置 文件 史 ， 几 乎 所 有 的 设 定 参数 都 是 在 这 
档案 内 规范 的 ! 这 个 档案 预 设 就 是 一 个 完整 的 说 明 档 了 ， 你 可 以 参考 这 下 
设 定好 属于 你 的 postfix MTA 呢 ! 只 要 修改 过 这 个 档案 ， 记 得 要 重新 启动 postfix 喔 ! 


。 /etc/postfix/master.cf 主要 规定 了 postfix 每 个 程序 的 运作 参数 ， 也 是 很 重要 的 一 个 配置 文 
件 。 不 过 这 个 档案 预 设 已 经 很 OK 了 ， 通 常 不 需要 更 改 他 。 


e /etc/postfix/access (利用 postmap 处 理 ) 可 以 设 定 开放 Relay 或 拒绝 联机 的 末 避 目标 地 
址 等 信息 的 外 部 配置 文件 ， 不 过 这 个 档案 要 生效 还 需要 在 /etc/postfix/main.cf 启动 这 个 档 
案 的 用 途 才 行 。 且 设 定 完毕 后 需要 以 postmap 来 处 理 成 为 数据 库 档案 呢 ! 


。 /etc/aliases ( 。 用 postalias 或 newaliases 均 可 ) 做 为 邮件 别名 的 用 途 ， 也 可 以 作为 邮件 
群 组 的 设 定 喔 


至 于 常见 的 执行 档 则 有 底下 这 些 


e。 /usr/sbin/postconf (查阅 postfix 的 设 定 数据 ) 这 个 指令 可 以 列 出 目前 你 的 postfix 的 详细 设 
定数 据 ， 包 括 系 统 默认 值 也 会 被 列 出 来 ， 所 以 数据 量 相当 的 庞大 ! 如 果 你 在 main.cf 里 
面 曾 经 修改 过 0 入 参数 的 话 ， 想 要 仅 列 出 非 默 认 值 的 设 定数 据 ， 则 可 以 使 用 

『postconf -nJ」 这 个 选项 即 可 。 


e。 /usr/sbin/postfix (主要 的 daemon 指令 ) 此 为 postfix 的 主要 执行 档 ， 你 可 以 简单 的 使 用 他 
来 启动 或 重新 读 取 配置 文件 : 


[root@www ~]# postfix check  ”&1t;== 检 查 postfix 相关 的 档案 、 权 限 等 是 否 正 确 ! 
[root@www ~]# postfix start  &]lt;== 开 始 postfix 的 执行 

[root@www ~]# postfix stop &1lt;== 关 闭 postfix 

[root@www ~]# postfix flush  ”&1lt;== 强 制 将 目前 正在 邮件 队列 的 邮件 寄 出 |! 

[root@www ~]# postfix reload &]lt;== 重 新 读 入 配置 文件 ， 也 就 是 /etc/postfix/main.cf 


要 注意 的 是 ， 每 次 更 动 过 main. Ge 务必 重新 启动 postfix， 可 简单 的 使 用 『postfix 
reloadJ 即 可 。 不 过 老实 说 ， 乌 可 还 是 习惯 使 用 /etc/init.d/postfix reload.. 


e。 /usr/sbin/postalias 设 定 别 名 数据 库 的 指令 ， 因 为 MTA 读 取 数据 库 格式 的 档案 效能 较 佳 ， 
所 以 我 们 都 会 将 ASCI 格式 的 档案 重建 为 数据 库 。 在 postfix 当中 ， 这 个 指令 主要 在 转换 
/etc/aliases 成 为 /etc/aliases.db 鹃 ! 用 法 为 : 


[root@www ~]# postalias hash:/etc/aliases 
# hash 为 一 种 数据 库 的 格式 ， 然 后 那个 /etc/aliases.db 就 会 自动 被 更 新 虽 |! 


e /usr/sbin/postcat 主要 用 在 检查 放 在 queue (队列 ) 当中 的 信件 内 容 。 由 于 队列 当中 的 信件 
内 容 是 给 MTA 看 的 ， 所 以 格式 并 不 是 一 般 我 们 人 类 看 的 懂 的 文字 数据 。 所 以 这 个 时 候 你 
得 要 用 postcat 才 可 以 看 出 该 信件 的 内 容 。 在 /var/spool/postfix 内 有 相当 多 的 目录 ， 假 
设 内 有 一 个 文件 名 为 /deferred/abcfile ， 那 你 可 以 利用 底下 的 方式 来 查询 该 档案 的 内 容 
喔 : 


[root@www ~]# postcat /var/spool/postfix/deferred/abcfile 


e。 /usr/sbin/postmap 这 个 指令 的 用 法 与 postalias 类 似 ， 不 过 他 主要 在 转换 access 这 个 档 
案 的 数据 库 啦 ! 用 法 为 : 


[root@www ~]# postmap hash:/etc/postfix/access 


。 /usr/sbin/postqueue 类 似 mailq 的 输出 结果 ， 例 如 你 可 以 输入 『postqueue -pJ 看 看 就 知 
道 了 | 


整个 postfix 的 软件 结构 大 致 上 是 这 个 样子 的 ， 接 下 来 让 我 们 先 来 简单 的 处 理 一 下 postfix 的 收 
发 信件 功能 吧 ! 


22.2.3 一 个 邮件 服务 器 的 设 定 案例 


前 面谈 到 mail server 与 DNS 系统 有 很 大 的 相关 性 ， 所 以 如 果 你 想 要 架设 一 部 可 以 连 上 
Internet 的 邮件 服务 器 时 ， 你 必需 要 已 经 取得 合法 的 A 与 MX 主机 名 ， 而 且 最 好 反 解 也 已 经 
向 您 的 ISP 申请 修改 设 定 了 ， 这 可 是 个 大 前 提 ! 不 要 忽略 他 ! 在 底下 的 练习 当中 乌 哥 以 之 前 
十 九 章 DNS 内 的 设 定 为 依据 ， 主 要 的 参数 是 这 样 的 : 


e 邮件 服务 器 的 主要 名 称 为 : www.centos.vbird 

。 邮件 服务 器 尚 有 别名 为 linux.centos.vbird 及 ftp.centos.vbird 也 可 以 收发 信件 ; 
。 此 邮件 服务 器 已 有 MX 设 定 ， 直 接 指 向 自己 (www.centos.vbird) 

。 这 个 www.centos.vbird 有 个 人 的 标志 指向 192.168.100.254 。 


在 实际 的 邮件 服务 器 设 定 当 中 ， 上 述 的 几 个 标志 是 很 重要 的 ， 请 自行 参考 DNS 章节 的 介绍 
吧 | 底下 就 让 我 们 来 实际 设 定 postfix 服务 器 哆 ! 


22.2.4 让 Postfix 可 监听 Internet 来 收发 信件 


在 预 设 的 情况 下 ，CentOS 6.x 的 MTA 仅 针 对 本 机 进行 监听 ， 不 相信 吗 ? 测 测 看 : 


[root@www ~]# netstat -tlnp &#124; grep :25 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 © 127.0.0.1:25 0.0.0.0:* LISTEN 3167/master 


所 以 如 果 你 要 对 整个 Internet 开放 的 话 ， 就 得 要 努力 的 搞定 几 个 简单 的 设 定 嘿 1! 而 几乎 所 有 


的 设 


定 你 都 可 已 经 由 /etc/postfix/main.cf 这 个 档案 搞定 ! 修改 前 你 需要 注意 的 项 目 有 : 


号 日 


『 太 J 符号 是 批注 的 意思 ; 

所 有 设 定 值 以 类 似 『 变 量 」 的 设 定 方 法 来 处 理 ， 例 如 myhostname = www.centos.vbird ， 
请 注意 等 号 的 两 边 要 给 予 空 格 符 喔 ， 且 第 一 个 字符 不 可 以 是 空白 ， 亦 即 『my..」 要 由 行 
首 写 起 ; 

可 以 使 用 『$J 来 延伸 使 用 变量 设 定 ， 例 如 myorigin = $myhostname， 会 等 于 myorigin 
= Www.centos.vbird ; 
如 果 该 变量 支持 两 个 以 上 的 数据 ， 则 使 用 空格 符 来 分 隔 ， 不 过 建议 使 用 吉 号 加 空格 符 『， 
J」 来 处 理 。 例 如 : mydestination = $myhostname, $mydomain, linux.centos.vbird， 意 
指 mydestination 支持 三 个 数据 内 容 之 意 。 


即 可 将 数据 延伸 到 第 二 行 继续 书写 (所 以 刚刚 第 二 点 才 说 ， 开 头 不 能 留 白 ! ) ; 
若 重 复 设 定 某 一 项 目 ， 则 以 较 晚 出 现 的 设 定 值 为 准 ! 


要 让 你 的 postfix 可 以 收发 信件 时 ， 你 必需 要 居 动 的 设 定数 据 有 底下 这 些 喔 : 


myhostname : 设 定 主机 名 ， 需 使 用 FQDN 嘱 


这 个 项 目 在 于 设 定 你 的 主机 名 ， 且 这 个 设 定 值 会 被 后 续 很 多 其 他 的 参数 所 引用 ， 所 以 必 
须要 设 定 正确 才 行 。 你 应 该 要 设 定 成 为 完整 的 主机 名 。 在 乌 哥 的 这 个 练习 当中 ， 应 该 设 
定 为 : myhostname = www.centos.vbird 才 对 。 除了 这 个 设 定 值 之 外 ， 还 有 一 个 
mydomain 的 设 定 项 目 ， 这 个 项 目 默 认 会 取 $myhostname 第 一 个 『.J 之 后 的 名 称 。 举 
例 来 说 上 头 设 定 完毕 后 ， 预 设 的 mydomain 就 是 centos.vbird 鹃 ! 你 也 可 以 自行 设 定 
他 。 


myorigin : 发 信 时 所 显示 的 『 发 信 源 主机 J 项 目 


这 个 项 目 在 设 定 『 邮 件 头 上 面 的 mail from 的 那个 地 址 ] ， 也 就 是 代表 本 MTA 传 出 去 的 
信件 将 以 此 设 定 值 为 准 喔 ! 如 果 你 在 本 机 寄 信 时 忘记 加 上 Mail from 字样 的 话 ， 那 么 就 
以 此 值 为 准 了 。 默 认 这 个 项 目 以 $myhostname 为 主 的 ， 例 如 : myorigin = 
$myhostname 


inet_interfaces : 设 定 postfix 的 监听 接口 ( 极 重要 ) 


在 预 设 的 情况 下 你 的 Postfix 只 会 监听 本 机 接口 的 lo (127.0.0.1) 而 已 ， 如 果 你 想 要 监听 

整个 Internet 的 话 ， 请 开放 成 为 对 外 的 接口 ， 或 者 是 开放 给 全 部 的 接口 ， 常 见 的 设 定 方 
法 为 : inet_interfaces = all 才 对 ! 由 于 如 果 有 重复 设 定 项 目 时 ， 会 以 最 晚 出 现 的 设 定 值 
为 准 ， 所 以 最 好 只 保留 一 组 inet_interfaces 的 设 定 呢 |! 


e inet_protocols : 设 定 postfix 的 监听 IP 协议 


预 设 CentOS 的 postfix 会 去 同时 监听 IPv4, IPv6 两 个 版 本 的 IP， 如 果 你 的 网 络 环境 里 面 
仅 有 IPv4 时 ， 那 可 以 直接 指定 inet_protocols = ipv4 就 会 避免 看 到 :::1 之 类 的 IP 出 现 
哆 1! 


。 mydestination : 设 定 『 能 够 收 信 的 主机 名 J」 ( 极 重要 ) 


这 个 设 定 项 目 很 重要 喔 |! 因为 我 们 的 主机 有 非常 多 的 名 字 ， 那 么 对 方 填写 的 mail to 到 底 
要 写 哪 个 主机 名 字 我 们 才能 将 该 信件 收 下 ? 就 是 在 这 里 规范 的 ! 也 就 是 说 ， 你 的 许多 主 
机 名 当中 ， 仅 有 写 入 这 个 设 定 值 的 名 称 才能 作为 email 的 主机 地 址 。 在 我 们 这 个 练习 当 
中 这 部 主机 有 三 个 名 字 ， 所 以 写法 为 : mydestination = $myhostname, localhost， 
linux.centos.vbird, ftp.centos.vbird 


如 果 你 想 要 将 此 设 定 值 移动 到 外 部 档案 ， 那 可 以 使 用 类 似 底下 的 作法 : mydestination = 

/etc/postfix/local-host-names ， 然 后 在 local-host-names 里 面 将 可 收 信 的 主机 名 写 入 即 

可 。 一 般 来 说 ， 不 建议 你 额外 建立 local-host-names 这 个 档案 啦 ， 直 接 写 入 main.cf 即 

可 说 ! 特别 留意 的 是 ， 如 果 你 的 DNS 里 头 的 设 定 有 MX 标志 的 话 ， 那 么 请 将 MX 指向 的 
那个 主机 名 一 定 要 写 在 这 个 mydestination 内 ， 否则 很 容易 出 现 错误 讯息 喔 ! 一 般 来 

说 ， 使 用 者 最 常 发 生 错 误 的 地 方 就 在 这 个 设 定 里 头 呢 ! 


。 mynetworks_style : 设 定 『 信 任 网 域 〗 的 一 项 指标 


这 个 设 定 值 在 规定 『 与 主机 在 同一 个 网 域 的 可 信任 客户 端 ] 的 意思 ! 举例 来 说 ， 鸟 哥 的 

主机 IP 是 192.168.100.254， 如 果 我 相信 整个 局 域 网 络 内 (192.168.100.0/24) 的 用 户 的 
话 ， 那 我 可 规定 此 设 定 值 为 『 subnet 4 呐 ! 不 过 ， 一 般 来 说 ， 因 为 底下 的 mynetworks 
会 取代 这 个 设 定 值 ， 所 以 不 设 定 也 没有 关系 喔 ! 如 果 要 设 定 的 话 ， 最 好 设 定 成 为 host 即 
可 ( 亦 即 仅 信任 这 部 MTA 主机 而 已 ) 。 


e。 mynetworks : 规定 信任 的 客户 端 ( 极 重要 ) 


你 的 MTA 能 不 能 帮忙 进行 Relay 与 这 个 设 定 值 最 有 关系 ! 举例 来 说 ， 我 要 开放 本 机 与 内 
部 网 域 的 IP 时 ， 就 可 以 这 样 进行 设 定 : mynetworks = 127.0.0.0/8, 192.168.100.0/24 。 
如 果 你 想 要 以 /etc/postfix/access 这 个 档案 来 控制 relay 的 用 户 时 ， 那 乌 可 可 以 建议 你 将 
上 述 的 数据 改写 成 这 样 : mynetworks = 127.0.0.0/8, 192.168.100.0/24， 
hash:/etc/postfix/access 然后 你 只 要 再 建立 access 之 后 重 整 成 数据 库 后 ， 嘿 嘿 | 就 能 够 
设 定 Relay 的 用 户 嘿 | 


。 relay _ domains : 规范 可 以 帮忙 relay 的 下 一 部 MTA 主机 地 址 


相对 于 mynetworks 是 针对 『 信 任 的 客户 端 ] 而 设 定 的 ， 这 个 relay_domains 则 可 以 视 
为 『 针 对 下 游 MTA 服务 器 」 而 设 定 的 。 举 例 来 说 ， 如 果 你 这 部 主机 是 
www.niki.centos.vbird 的 MX 主机 时 ， 那 你 就 得 要 在 relay_domains 设 定 针对 整个 
niki.centos.vbird 这 个 领域 的 目标 信件 进行 转 递 才 行 。 在 预 设 的 情况 下 ， 这 个 设 定 值 是 
$mydestination 而 已 啦 。 


你 必需 要 注意 的 『Postfix 预 设 并 不 会 转 递 MX 主机 的 信件 ， 意 思 就 是 说 : 如 果 你 有 两 
部 主机 ， 一 部 是 上 游 的 MTAup ， 一 部 是 下 游 的 MTAdown ， 而 MTAdown 规范 的 MX 主 
机 是 MTAup， 由 22.1.2 谈 到 的 DNS 的 MX 设 定 值 与 信件 传递 方向 ， 我 们 知道 任何 想 要 
寄 给 MTAdown 主机 的 信件 ， 都 会 先 经 过 MTAup 来 转 递 才 行 ! 此 时 如 果 那 部 MTAup 没 
有 开启 帮 MTAdown 进行 relay 的 权限 时 ， 那 么 任何 传 给 MTAdown 的 信件 将 『 全 部 都 
被 MTAup 所 退回 」 ! 从 此 MTAdown 就 无 法 收 到 任何 信件 了 。 


上 一 段 的 说 明 请 您 特别 再 想 一 想 ， 因 为 如 果 你 在 大 公司 服务 而 且 你 的 公司 上 、 下 游 均 有 
mail server 时 ， 并 且 也 有 设 定 MX 的 状况 下 ， 嘿 嘿 ! 这 个 relay_ domains 就 很 重要 啦 ! 
上 游 的 MTA 主机 必需 要 启动 这 个 设 定 。 一 般 来 说 除非 你 是 某 部 MTA 主机 的 MX 源头 ， 
否则 这 个 设 定 项 目 可 以 忽略 不 设 定 他 。 而 如 果 你 想 要 帮 你 的 客户 端 转 递 信件 到 某 部 特定 
的 MTA 主机 时 ， 这 个 设 定 项 目 也 是 可 以 设 定 的 啦 。 默认 请 您 保留 默认 值 即 可 。 
。 alias_maps : 设 定 邮件 别名 

就 是 设 定 邮 件 别名 的 设 定 项 目 ， 只 要 指定 到 正确 的 档案 去 即 可 ， 这 个 设 定 值 可 以 保留 默 
认 值 啊 : 


在 了 解 上 述 的 设 定 后 ， 以 鸟 哥 的 范例 来 看 的 话 ， 鸟 哥 有 更 动 过 或 注 明 重要 的 设 定 值 以 及 相关 
档案 是 这 样 处 理 的 : 


[root@www ~]# vim /etc/postfix/main.cf 


myhostname = www.centos.vbird &1t ;== 约 在 第 77 行 
myorigin = $myhostname &1t;== 约 在 第 99 行 
inet_interfaces = all &1t;== 约 在 第 114 行 ，117 行 要 批注 掉 
inet_protocols = ipv4 &1lt ;== 约 在 第 120 行 


mydestination = $myhostname, localhost.$mydomain, localhost, 
linux.centos.vbird，ftp.centos.vbird &1lt;== 约 在 第 165,166 行 
mynetworks = 127.0.0.0/8, 192.168.100.0/24, hash:/etc/postfix/access &1lLt;== 约 在 269 行 


relay_domains = $mydestination &Lt;== 约 在 第 299 行 
alias_maps = hash:/etc/aliases 
alias_database = hash:/etc/aliases &1t ;== 约 在 第 389，409 行 


# 其 他 的 设 定 值 就 先 保留 默认 值 即 可 啊 ! 


[root@www ~]# postmap hash:/etc/postfix/access 
[root@www ~]# postalias hash:/etc/aliases 


因为 main.cf 当中 我 们 有 额外 加 入 两 个 外 部 配置 文件 (mynetworks 及 alias_maps) ， 所 以 才 会 
额外 进行 postmap 及 postalias。 然 后 准备 来 启动 啦 ! 你 可 以 这 样 处 理 喔 : 


# 1\， 先 检查 配置 文件 的 语法 是 否 有 错误 

[root@www ~]# /etc/init.d/postfix check ”&1lt;== 没 有 讯息 ， 表 示 没 有 问题 。 
# 2\， 启 动 与 观察 port number 

[root@www ~]# /etc/init.d/postfix restart 

[root@www ~]# netstat -tlunp &#124; grep ':25'" 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 13697/master 


尽 简 单 吧 ! 这 样 就 设 定 妥当 了 。 人 假设 你 的 防火 墙 已 经 处 理 完毕 ， 那 你 的 Postfix 已 经 可 以 开放 
ws 行 转 递 ， 并 且 也 可 以 收受 信件 嘿 ! 不 过 ， ee be 的 postfix 可 以 收 
下 哪些 信件 ?又 可 以 针对 哪些 设 定 值 的 内 容 进行 转 递 呢 ? 这 就 得 要 参考 下 一 小 节 的 说 明了 。 


22.2.5 信件 传送 流程 与 收 信 、relay 等 重要 观念 


我 想 ， 您 对 于 MTA 的 设 定 与 收发 信件 应 该 有 一 定 程度 的 概念 了 ， 不 过 要 妥善 设 定好 你 的 MTA 
时 ， 尤 其 是 想 要 了 解 到 整 部 MTA 是 如 何 收 、 发 信件 时 ， 你 最 好 还 是 要 知道 『 我 这 部 MTA 如 
何 接受 来 源 主 机 所 传 来 的 信件 ， 以 及 将 信件 转 递 到 下 一 部 主机 去 4 的 整个 流程 啊 。 一 般 来 说 
一 封 邮件 传送 会 经 过 许多 的 流程 为 : 


1.， 送信 端 与 收 信 端 两 部 主机 间 会 先 经 过 一 个 握手 的 阶段 ， 此 时 送信 端 被 记录 为 发 信 
来 源 (而 不 是 mail from)。 通过 握手 后 就 可 以 进行 信件 标 头 (header) 的 传送 ; 


2.， 此 时 收 信 端 主机 会 分 析 标 头 的 信息 ， 若 信件 之 Mail to: 主机 名 为 收 信 端 主机 ， 且 该 名 称 符 
合 <u>mydestination</u> 的 设 定 ， 则 该 信件 会 开始 被 收 下 至 队列 ， 并 进一步 送 到 
mailbox 当中 ; 若 不 符合 <u>mydestination</u> 的 设 定 ， 则 终止 联机 且 不 会 进行 信件 内 
容 (body) 的 传送 ; 


3. 若 Mailto: 主机 名 非 为 收 信 端 本 身 ， 则 开始 进行 转 递 (relay) 的 分 析 。 


4. 转 递 过 程 首先 分 析 该 信件 的 来 源 是 否 符合 信任 的 客户 端 (这 端 为 步骤 1 所 记录 的 发 
信 主 机 喔 )， 亦 即 来 源 是 否 符合 <u>mynetworks</u> 的 i -0 ， 
至 队列 中 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ， 若 不 符 mynetworks 则 继续 下 一 步 


5 分 析 信件 来 源 或 目标 是 否 符合 <u>relay_domains</u> 的 设 定 ， 若 符合 则 信件 将 被 收 下 至 
队列 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ; 


6. 若 这 封 信 的 标 头 数据 都 不 合乎 上 述 的 规范 ， 则 终止 联机 ， 并 不 会 接受 信件 的 内 容 数据 
的 。 


整个 流程 有 点 像 底下 这 样 : 


ehlo 握手 阶段 信件 进入 


header 












Mail to: hostname 


主机 名 是 否 为 自己 


机 名 是 否 符合 
自己 人 不 zi 
nydestination a5 害 





和 


mailbox 


本 
Relay 
丢弃 /退回 





源 是 天 为 信任 端 
. 视 Inynetworks 而 定 





| 
此 











队列 中 等 待 


转 递 送出 信件 到 下 一 部 MTA 






目标 是 否 为 


relay domans 


否 丢弃 /退回 


机 MTA 当中 的 信件 分 析 过 程 


也 就 是 说 标 头 分 析 通过 后 ， 你 的 信件 内 容 才 会 开始 上 传 到 主机 的 队列 ， 然 后 透 过 MDA 来 处 理 
该 信件 的 流向 。 而 不 是 将 信件 完整 的 传送 到 主机 后 才 开 始 分 析 的 喔 ! 这 个 得 要 特别 注意 呐 ! 
而 透 过 上 述 的 流程 后 ， 在 暂 不 考虑 access 以 及 MDA 的 分 析 机 制 中 ， 一 部 MTA 想 要 正确 的 
收 、 发 信件 时 ， 电 子 邮件 必需 要 符合 : 


。 收 信 方 面 : 必需 符合 底下 需求 : 


1. 发 信 端 必需 符合 $inet interfaces 的 设 定 ; 
2. 信件 标 头 之 收 件 者 主机 名 必需 符合 $mydestination 的 设 定 ， 或 者 收 件 主机 名 需要 符 
合 $virtual_maps (与 虚拟 主机 有 关 ) 的 设 定 ; 
。 转 递 方面 (Relay) : 必需 符合 底下 需求 : 
1. 发 信 端 必需 符合 $inet interfaces 的 设 定 ; 
2. 发 信 端 来 源 必需 为 $mynetworks 的 设 定 ; 发 信 端 来 源 或 信件 标 头 之 收 件 者 主机 名 符 


合 $relay domains 之 设 定 内 容 。 


同样 的 原理 与 想法 你 可 以 将 他 用 在 sendmail 的 设 定 当中 喔 ! ^ ^1 不 过 很 多 垃圾 信 却 是 藉 由 
这 个 预 设 的 收发 管道 来 发 送 ， 怎 么 说 呢 ? 请 看 底下 的 分 析 : 


例题 : 在 我 的 主机 上 面 竟然 发 现 这 样 的 广告 信 ， 那 就 是 『 利 用 我 的 主机 发 送 广告 信 给 我 自 

己 1 J 为 什么 这 样 也 可 以 呢 ? 答 : 首先 ， 你 必需 要 熟悉 一 下 上 述 的 流程 ， 在 第 2 个 步骤 当中 
我 们 知道 ， 当 主机 收 到 一 封 信 且 这 封 信 的 目标 是 自己 ， 并 且 也 符合 mydestination 的 设 定 

时 ， 该 信件 就 会 被 收 下 来 而 不 必 验 证 客户 端 是 否 来 自 于 mynetworks 了 。 所 以 说 ， 任 何人 都 
可 以 用 这 个 流程 来 寄 信 给 你 啊 。 不 过 ， 你 的 MTA 并 不 是 open relay 啦 ， 不 会 帮 人 家 发 送 广告 
信 的 ， 不 用 担心 。 


例题 : 我 的 主机 明明 没有 Open relay ， 但 很 多 其 他 的 MTA 管理 员 发 信 给 我 ， 说 我 的 主机 的 
某 个 账号 持续 发 送 广告 信 ， 但 是 我 的 主机 明明 没有 那个 账号 啊 | 这 是 怎么 回 事 ? 答 : 仔细 看 
一 下 流程 的 步骤 1 与 2 ， 确 认 该 封 信 能 和 否 被 收 下 来 与 发 信 端 及 收 信 端 主机 名 有 关 。 而 我 们 知 
道 在 邮件 的 header 里 面 还 有 一 个 mail from 的 标 头 设 定 项 目 ， 这 个 标 头 设 定 是 我 们 在 查阅 邮 
件 时 看 到 的 『 回 邮 地 址 ]， 这 个 数据 是 可 以 伪造 的 1 而 且 他 与 收发 信件 的 数据 无 关 | 所 以 ， 
您 应 该 要 告知 对 方 MTA 管理 员 ， 请 他 提供 详细 的 log 数据 ， 才 能 够 判断 该 封 信 是 否 由 你 的 主 
机 所 发 送出 去 的 。 


一 般 来 说 ， 目 前 的 广告 业者 很 多 都 是 利用 这 种 其 敌 的 方式 来 处 理 的 ， 所 以 您 必需 要 请 对 方 提 
供 详 细 的 log file 数据 以 供 查 验 才 行 喔 ! 


22.2.6 设 定 邮件 主机 权限 与 过 滤 机 制 /etc/postfix/access 


基本 上 ， 指 定 了 Postfix 的 mynetworks 的 信任 来 源 就 能 够 让 使 用 者 relay 了 ， 不 过 如 果 你 依 
照 乌 可 上 述 的 方式 (22.2.4) 来 设 定 你 的 mynetworks 的 话 ， 那 么 我 们 还 可 以 利用 access 这 个 
档案 来 额外 管理 我 们 的 信件 过 滤 呢 ! 基本 的 access 语法 为 : 


规范 的 范围 或 规则 Postfix 的 动作 (范例 如 下 ) 
IP/ 部 分 IP/ 主 机 名 /Email 等 OK/REJECT 


假设 你 想 要 让 120.114.141.60 还 有 .edu.tw 可 以 使 用 这 部 MTA 来 转 递 信件 ， 且 不 许 av.com 
以 及 192.168.2.0/24 这 个 网 域 的 使 用 时 ， 可 以 这 样 做 : 


[root@www ~]# vim /etc/postfix/access 


120.114.141.60 OK 
.edu.tw OK 
av.com REJECT 
192.168.2\. REJECT 


# OK 表示 可 接受 ， 而 REJECT 则 表示 拒绝 。 


[root@www ~]# postmap hash:/etc/postfix/access 

[root@www ~]# ls -1 /etc/postfix/access* 

-rw-r--r--. 1 root root 19648 2011-08-09 14:05 /etc/postfix/access 
-rw-r--r--. 1 root root 12288 2011-08-09 14:08 /etc/postfix/access.db 
# 你 会 发 现 有 个 access.db 的 档案 才 会 同步 更 新 ! 这 才 是 postfix 实际 读 取 的 |! 


用 这 个 档案 设 定 最 大 的 好 处 是 ， 你 不 必 重 新 启动 postfiXx， 只 要 将 数据 库 建 立 好 ， 立 刻 就 生 交 
了 ! 这 个 档案 还 有 其 它 的 进 阶 功能 ， 你 可 以 自行 进入 该 档案 查阅 就 知道 了 。 但 是 进 阶 设 定 还 
需要 main.cf 内 的 其 他 参数 有 设 定 才 行 ! 如 果 只 有 之 前 $mynetworks 的 设 定 值 时 ， 你 只 能 利 
用 access.db 的 方式 来 开放 relay 的 能 力 而 已 。 不 过 ， 至 少 他 可 以 让 我 们 的 设 定 简化 嚼 ! ^ 


22.2.7 设 定 邮件 别名 : /etcljaliases, ~/.forward 


想 一 想 ， 你 的 主机 里 面 不 是 有 很 多 系统 账号 吗 ? 例如 named, apache, mysql...， 那 么 以 这 些 
账号 执行 的 程序 若 有 讯息 发 生 时 ， 他 会 将 该 讯息 以 email 的 方式 传 给 谁 ? 应 该 就 是 传 给 
named, apache... 等 账号 自己 吧 。 不 过 ， 你 会 发 现 其 实 这 些 系 统 账 号 的 信息 都 是 丢 给 root ! 
这 是 因为 其 他 的 系统 账号 并 没有 密码 可 登入 ， 自 然 也 就 无 法 接收 任何 邮件 了 ， 所 以 若 有 邮件 
就 给 系统 管理 员 史 。 不 过 ， 听 们 的 MTA 怎么 知道 这 些 信件 要 传 给 root ? 这 就 得 要 aliases 这 
个 邮件 别名 配置 文件 来 处 理 啦 ! 


e 邮件 别名 配置 文件 : /etc/aliases 
在 你 的 /etc/aliases 档案 内 ， 你 会 发 现 类 似 底 下 的 字样 : 


[root@www ~]# vim /etc/aliases 
mailer-daemon: postmaster 


postmaster: root 

bin: root 

daemon: root 
, . (底下 省 略 ),,.， 


左边 是 『 别 名 4 右边 是 『 实 际 存在 的 使 用 者 账号 或 者 是 email addressJ ! 就 是 透 过 这 个 设 定 

值 ， 所 以 让 我 们 可 以 将 所 有 系统 账号 所 属 的 信件 通通 丢 给 root 啊 ! 好 ， 我 们 现在 将 他 扩大 

化 ， 假 如 你 的 MTA 内 有 一 个 实际 的 账号 名 称 为 dmtsai ， 这 个 使 用 者 还 想 要 使 用 dermintsali 
这 个 名 称 来 收 他 的 信件 ， 那 么 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/aliases 
dermintsai: dmtsai 
# 左边 是 你 额外 所 设 定 的 ， 右 边 则 是 实际 接收 这 封 信 的 账号 ! 


[root@www ~]# postalias hash:/etc/aliases 
[root@www ~]# 11 /etc/aliases* 


-rw-r--r--. 1 root root 1535 2011-08-09 14:10 /etc/aliases 
-rw-r--r--. 1 root root 12288 2011-08-09 14:10 /etc/aliases.db 


从 此 之 后 不 论 是 i centos.vbird 还 是 dermintsai@www.centos.vbird 都 会 将 信件 
丢 到 /var/spool/mail/dmtsai 这 个 信箱 当中 喔 ! 很 方便 吧 ! 


e /etc/aliases 实际 应 用 一 : 让 一 般 账 号 可 接收 root 的 信 


假设 你 是 系统 管理 员 ， 而 你 常用 的 一 般 账号 为 dmtsai， 但 是 系统 出 错时 的 重要 信件 都 是 寄 给 
root 啊 ， 偏 偏 root 的 信件 不 能 被 直接 读 取 .... 所 以 说 ， 如果 能 够 将 『 给 root 的 信也 转 寄 一 份 
合 dmtsai 」 的 话 ， 那 就 太 好 了 ! 可 以 达到 吗 ? 当然 可 以 1 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/aliases 
root: root, dmtsai &lt;== 鸟 哥 建议 这 种 写法 ! 
# 信件 会 传 给 root 与 dmtsai 这 两 个 账号 ! 


root : dmtsai &1t ;== 如 果 dmtsai 不 再 是 管理 员 怎 办 ? 
# 从 此 root 收 不 到 信 了 ， 都 由 dmtsai 来 接受 ! 


[root@www ~]# postalias hash:/etc/aliases 


上 面 那 两 行 你 可 以 择 一 使 用 ， 看 看 root 要 不 要 保留 他 的 信件 都 可 以 的 ! 鸟 哥 建议 使 用 第 一 种 
方式 ， 因 为 这 样 一 来 ， 你 的 dmtsai 可 以 收 到 root 的 信 ， 且 root 自己 也 可 以 『 备 份 」 一 份 在 
他 的 信箱 内 ， 上 比较 安全 啦 ! 


e@ /etc/aliases 实际 应 用 二 : 发 送 群 组 寄 信 功能 


想象 一 个 情况 ， 如 果 你 是 学 校 的 老师 ， 你 虽然 只 带 一 班 导 生 ， 但 是 『 每 年 都 一 班 上 时， 如 果 
We 合 所 有 的 学 生 ， 那 在 写 email 的 标 头 时 ， 可 能 就 会 头角 氏 的 了 (因为 联络 人 
名 单 太 多 了 ) ! 这 个 时 候 你 可 以 这 样 做 : (假设 主机 上 学 生 的 账号 为 std001, std002...) 


[root@www ~]# vim /etc/aliases 
Student2011: std001, std002, std003, std004... 


[root@www ~]# postalias hash:/etc/aliases 


如 此 一 来 只 要 寄 信 到 这 部 主机 的 student2011 这 个 不 存在 的 账号 时 ， 该 封 信 就 会 被 分 别 存 到 
各 个 账号 里 头 去 ， 管 理 上 面 是 否 很 方便 啊 1! ^^! 事实 上 ， 邮 件 别名 除了 填写 自己 主机 上 面 
的 实体 用 户 之 外 ， 其 实 你 可 以 填写 外 部 主机 的 email 喔 1! 例如 你 要 将 本 机 的 dermintsai 那个 
不 存在 的 用 户 的 信件 除了 传 给 dmtsai 之 外 ， 还 要 外 传 到 dmtsai@mail.niki.centos.vbird 时 ， 
可 以 这 样 做 : 


[root@www ~]# vim /etc/aliases 
dermintasi: dmtsai,dmtsai@mail.niki.centos.vbird 


[root@www ~]# postalias hash:/etc/aliases 


很 方便 吧 ! 更 多 的 功能 就 期 待 您 自行 发 气 嘿 ! 


Tips: 在 这 本 书 里 面 ，dmtai 的 家 目录 并 非 在 正规 的 /home 底下 ， 而 是 放置 于 /winhome 当中 
(参考 第 十 六 章 的 练习 )， 所 以 实际 操作 mail 指令 会 出 错 ! 这 是 因为 SELinux 的 关系 ! 请 参考 
/Var/log/messages 底下 的 建议 动作 去 处 理 即 可 | 


e 个 人 化 的 邮件 转 递 : ~/.forward 


虽然 /etc/aliases 可 以 帮 有 我们 达到 邮件 别名 设 定 的 好 处 ， 不 过 /etc/aliases 是 只 有 root 才能 修 
改 的 档案 权限 ， 那 我 们 一 般 使 用 者 如 果 也 想 要 进行 邮件 转 递 时 ， 该 如 何 是 好 ? 没关系 ， 可 以 
透 过 自己 家 目录 下 的 .forward 这 个 档案 喔 ! 举例 来 说 ， 我 的 dmtsai 这 个 账号 所 接收 到 的 信 
件 除 了 自己 要 保留 一 份 之 外 ， 还 要 传 给 本 机 上 的 vbird 以 及 dmtsai@mail.niki.centos.vbird 
时 ， 那 你 可 以 这 样 做 设 定 : 

[dmtsai@www ~]$ vim .forward 

我 现在 的 身份 现在 是 dmtsai 这 个 一 般 身份 ， 而 且 在 他 的 家 目录 下 ! 


vbird 
dmtsai@mail.niki.centos.vbird 


[dmtsai@www ~]$ chmod 644 .forward 


记得 这 个 档案 内 容 是 一 行 一 个 账号 (或 email) ， 而 且 权 限 方面 非常 重要 : 


。 该 档案 所 在 用 户 家 目录 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 
。 .forward 档案 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 


如 此 一 来 这 封 信 就 会 开始 转 递 史 | 有 趣 吧 | A A 


~ 


22.2.8 察看 信件 队列 信息 : postqueue, mailqg 


说 实话 ， 设 定 到 此 为 止 咱们 的 postfix 应 该 可 以 应 付 一 般 小 型 企业 之 mail server 的 用 途 了 | 
不 过 ， 有 的 时 候 毕 竟 因 为 网 络 的 问题 或 者 是 对 方 主机 的 问题 ， 可 能 导致 某 些 信件 无 法 送出 而 
被 暂 存 在 队列 中 ， 那 我 们 如 何 了 解 队 列 当 中 有 哪些 邮件 呢 ? 还 有 ， 在 队列 当中 等 待 送出 的 信 
件 是 如 何 送 出 的 呢 ? 


。 如 果 该 封 信 在 五 分 钟 之 内 无 法 穿 出 ， 则 通常 系统 会 发 出 一 封 『 警 告 信 ] 给 原 发 信者 ， 告 
知 该 封 邮 件 尚 无 法 被 寄 送 出 去 ， 不 过 ， 系 统 仍 会 持续 的 尝试 寄 出 该 封 邮件 ; 

e。 如 果 在 四 小 时 候 仍 无 法 寄 出 ， 系 统 会 再 次 的 发 出 敬告 信 给 原 发 信者 ; 

e 如 果 持 续 进 行 五 天 都 无 法 将 信件 送出 ， 那 么 该 封 邮 件 就 会 退回 给 原 发 信者 了 | 


当然 啦 ， 某 些 MTA 已 经 取消 了 警告 信 的 寄 发 ， 不 过 原则 上 ， 如 果 信 件 无 法 实时 寄 出 去 的 话 

MTA 还 是 会 努力 尝试 5 天 的 ， 如 果 接 下 来 的 5 天 都 无 法 送出 时 ， 才 会 将 原 信件 退回 给 发 信 

者 。 一 般 来 说 ， 如果 MTA 设 定 正确 且 网 络 没有 问题 时 ， 应 该 是 不 可 能 会 有 信件 被 放 在 队列 当 
中 而 传 不 出 去 的 ， 所 以 如 果 发 现 有 信件 在 队列 时 ， 当 然 得 要 仔细 的 具 一 颇 嘿 1! 检查 队列 内 容 
的 方法 可 以 使 用 mailq ， 也 可 以 使 用 postqueue -p 来 检查 的 : 


[root@www ~]# postqueue -p 
Mail queue is empty 


若 您 的 邮件 如 此 显示 时 ， 茶 音 您 ， 没 有 什么 问题 邮件 在 队列 当中 。 不 过 如 果 你 将 postfix 关 
闭 ， 并 尝试 发 一 封 信 给 任何 人 ， 那 就 可 能 会 出 现 如 下 的 画面 啦 : 
[root@www ~]# /etc/init.d/postfix stop 


[root@www ~]# echo "test" &#124; mail -s "testing queue" root 
[root@www ~]# postqueue -p 


postqueue: warning: Mail system is down -- accessing queue directly 
-Queue ID- --Size-- ---- Arrival Time---- -Sender/Recipient------- 
5CFBB21DB 284 Tue Aug 9 06:21:58 root 

root 


-- © Kbytes in 1 Request. 
# 第 一 行 就 说 明了 无 法 寄 出 的 原因 为 Mail system is down 啦 1! 
# 然后 才 出 现 无 法 寄 出 的 信件 信息 ! 包括 来 源 与 目标 喔 ! 


输出 的 信息 主要 为 : 


。 Queue ID : 表示 此 封 邮件 队列 的 代表 号 (ID)， 这 个 号 码 是 给 MTA 看 的 ， 我 们 看 不 懂 不 要 
紧 ; 

。 Size : 这 封 信 有 多 大 容量 (bytes) 的 意思 ; 

e。 Arrival Time : 这 封 信件 么 时 候 进 入 队列 的 ， 并 且 可 能 会 说 明 无 法 立即 传送 出 去 的 原因 ; 

。 Sender/Recipient : 送信 与 收 信者 的 电子 邮件 嘿 1 


事实 上 这 封 信 是 放置 在 /var/spool/postfix 里 面 ， 由 于 信件 内 容 已 经 编码 为 给 MTA 看 的 数据 排 
列 ， 所 以 你 可 以 使 用 postcat 来 读 出 原 信 件 的 内 容 喔 ! 例如 这 样 做 (注意 看 档 名 与 Queue ID 
的 对 应 | ) : 


[root@www ~]# cd /var/spool/postfix/maildrop 

[root@www maildrop]# postcat 5CFBB21DB &1t;== 这 个 档 名 就 是 Queue ID 

*** ENVELOPE RECORDS 5CFBB21DB *** &lLt ;== 说 明 队 列 的 编号 啊 
message_arrival time: Tue Aug 9 14:21:58 2011 

named_attribute: rewrite_context=local &1t;== 分 析 named (DNS) 的 特性 来 自 本 机 


sender_fullname: root &1t ;== 发 信者 的 大 名 与 email 
sender: root 

recipient: root &1t ;== 就 是 收 件 者 嘿 ! 

*** MESSAGE CONTENTS SCFBB21DB *** &1lt,;== 底 下 则 是 信件 的 实际 内 容 啊 ! 
Date: Tue, 09 Aug 2011 14:21:58 +0800 

To: root 


Subject: testing queue 

User-Agent: Heirloom mailx 12.4 7/29/08 
MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: 7bit 


test 
*** HEADER EXTRACTED SCFBB21DB *** 
*** MESSAGE FILE END 5CFBB21DB *** 


如 此 一 来 你 就 知道 目前 我 们 的 MTA 主机 有 多 少 未 送出 的 信件 ， 还 有 未 送出 信件 的 内 容 你 也 可 
以 追踪 的 到 了 ! 很 不 错 ， 对 吧 | 不 过 ， 如 果 你 想 要 我 们 的 postfix 立刻 尝试 将 这 些 在 队列 当中 
的 信件 寄 出 去 ， 那 又 该 如 何 是 好 ? 你 有 几 个 作法 啦 ， 可 以 重新 启动 postfix ， 也 可 以 透 过 
postfix 的 动作 来 处 理 ， 例 如 : 


[root@www ~]# /etc/init.d/postfix restart 
[root@www ~]# postfix flush 


鸟 哥 个 人 比较 建议 使 用 postfix flush 史 ! 自行 参考 看 看 先 ! ^ ^ 人 1! 接 下 来 ， 让 我 们 先 来 处 理 一 
下 收 信 的 MRA 服务 器 ， 搞 定 后 再 来 处 理 客户 端 的 用 户 接口 吧 ! | 


22.2.9 防火 墙 设置 


因为 整个 MTA 主要 是 透 过 SMTP (port 25) 进行 信件 传送 的 任务 ， 因 此 ， 针 对 postfix 来 说 ， 
只 要 放行 port 25 即 可 哆 ! 修改 一 下 iptables.rule 吧 | 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找到 底下 这 一 行 ， 并 且 将 它 批注 拿 掉 ! 

iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 就 放行 整个 Internet 对 您 服务 器 的 port 25 的 读 取 哩 | 简单 ! 搞定 ! 


22.3 MRA 服务 器 : dovecot 设 定 


除非 你 想 要 架设 webmail 在 你 的 MTA 上头， 否则 ， 你 的 MTA 收 下 了 信件 ， 你 总 得 连 上 MTA 
去 收 信 吧 ?那么 收 信 要 用 的 是 哪个 通讯 协议 ? 就 是 22.1.4 里 面谈 到 的 pop3 以 及 imap 史 ! 
这 就 是 所 谓 的 MRA 服务 器 ! 我 们 的 CentOS 6.x 使 用 的 是 dovecot 这 个 软件 来 达成 MRA 的 
相关 通讯 协议 的 ! 但 由 于 pop3/imap 还 有 数据 加 密 的 版 本 ， 底 下 我 们 就 依据 是 否 加 密 (SSL) 
来 设 定 dovecot 吧 | 


22.3.1 基础 的 POP3/IMAP 设 定 


启动 单纯 的 pop3/imap 是 很 简单 的 啦 ， 你 得 要 先 确 定 已 经 安装 了 dovecot 这 个 软件 。 而 这 个 
软件 的 配置 文件 只 有 一 个 ， 就 是 /etc/dovecot/dovecot.conf。 我 们 仅 要 启动 pop3/imap 而 
已 ， 所 以 可 以 这 样 设 定 即 可 : 


[root@www ~]# yum install dovecot 

[root@www ~]# vim /etc/dovecot/dovecot.conf 

# 找到 底下 这 一 行 ， 大 约 是 在 第 25 行 左右 的 地 方 ， 复 制 新 增 一 行内 容 如 下 : 
#protocols = imap pop3 lmtp 

protocols = imap pop3 


[root@www ~]# vim /etc/dovecot/conf.d/10-ssl.conf 
ssl = no  &lt;== 将 第 6 行 改 成 这 样 ! 


改 完 之 后 你 就 可 以 启动 dovecot 史 ! 并 且 检 查看 看 port 110/143 (pop3/imap) 有 没有 局 动 啊 ? 


[root@www ~]# /etc/init.d/dovecot start 

[root@www ~]# chkconfig dovecot on 

[root@www ~]# netstat -tlnp &#124; grep dovecot 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 Qieldlg 这 LISTEN 14343/dovecot 
tcp 0 © :::143 a LISTEN 14343/dovecot 


耶 ! 搞定 1 这 样 就 可 以 提供 使 用 者 来 收 信件 啦 ! 站 是 不 错 啊 | 不 过 记得 喔 ， 这 里 只 提供 基本 
的 明码 pop3/imap 传输 而 已 ， 如 果 想 要 启动 其 他 如 pop3s (传输 加 密 机 制 ) 协议 时 ， 就 得 要 额 
外 的 设 定 虽 ! 


22.3.2 加 窗 的 POP3s/IMAPs 设 定 


如 果 担 心 数据 在 传输 过 程 会 被 窃取 ， 或 者 是 你 的 登入 信息 (账号 与 密码 ) 在 使 用 pop3/imap 时 
会 被 窃 听 ， 那 么 这 个 pop3s/imaps 就 显 的 重要 啦 ! 与 之 前 的 Apache 相似 的 ， 其 实 我 们 都 是 
透 过 openssl 这 个 软件 提供 的 SSL 加 密 机 制 来 进行 数据 的 加 密 传输 。 方 式 很 简单 呢 ! 预 设 的 


情况 下 ，CentOS 已 经 提供 了 SSL 凭证 范例 文件 给 我 们 使 用 了 。 如 果 你 一 点 都 不 想 要 使 用 预 


设 的 凭证， 那么 我 们 就 来 自己 建 一 个 吧 | 


# 1N\X， 建立 凭证 : 到 系统 提供 的 /etc/pki/tls/certs/ 目录 下 建立 所 需要 的 pem 凭证 档 : 


[root@www ~]# cd /etc/pki/tls/certs/ 

[root@www certs]# make vbirddovecot.pem 

,... (前 面 省 略 ) , ，， ， 

Country Name (2 letter code) [xXx]:Tw 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 
Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, section) []:DIC 


Common Name (eg, your name or your server's hostname) []:www.centos.vbird 


Email Address []:dmtsai@www.centos.vbird 


# 2\， 因 为 担心 SELinux 的 问题 ， 所 以 建议 将 pem 档案 放置 到 系统 默认 的 目录 去 较 佳 ! 


[root@www certs]# mv vbirddovecot ,pem ../../dovecot/ 
[root@www certs]# restorecon -Rv ../../dovecot 


# 3\， 开始 处 理 dovecot .conf， 只 要 pop3s，imaps 不 要 明码 传输 的 咯 ! 


[root@www certs]# vim /etc/dovecot/conf.d/10-auth.conf 


disable_plaintext_auth = yes &lt;== 第 9 行 改 成 这 样 ! 取消 批注 | 


[root@www certs]# vim /etc/dovecot/conf.d/10-ssl.conf 


ssl = required &1lt;== 第 6 行政 成 这 样 


ssl cert = &lt;/etc/pki/dovecot/vbirddovecot.pem &lt;==12，13 行 变 这 样 


ssl key = &lt;/etc/pki/dovecot/vbirddovecot.pem 


[root@www certs]# vim /etc/dovecot/conf.d/10-master.conf 
inet_listener imap { 
port = 0 &lt;== 15 行 改 成 这 样 


inet_listener pop3 { 
port = 0 &lLt;== 36 行 改 成 这 样 
} 


# 4\， 处 理 额外 的 mail location 设 定 值 ! 很 重要 ! 否则 网 络 收 信 会 失败 : 





[root@www certs]# vim /etc/dovecot/conf.d/10-mail.conf 


mail location = mbox:~/mail:INBOX=/var/mail/%u &1lt;== 第 30 行 改 这 样 


# 5\， 重 新 启动 dovecot 并 且 观 察 port 的 变化 : 

[root@www certs]# /etc/init.d/dovecot restart 
[root@www certs]# netstat -tlnp &#124; grep dovecot 
Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 :::993 


ne LISTEN 
tcp 0 0 :::995 和 LISTEN 


PID/Program name 
14527/dovecot 
14527/dovecot 


最 终 你 看 到 的 993 是 imaps 而 995 则 是 pop3s 哩 1 这 样 一 来 ， 你 收 信 的 时 候 ， 输 入 的 账号 


密码 就 不 怕 被 宅 听 了 ! 反正 是 加 密 后 的 资料 哆 1 很 简单 吧 ! 


22.3.3 防火 墙 设置 


因为 上 面 的 练习 中 ， 我 们 将 pop3/imap 关闭 ， 转 而 打开 pop3s/imaps 了 ， 因 此 防火 墙 启动 的 
埠 口 会 不 一 样 ! 请 依据 您 实际 的 案例 来 设 定 你 所 需要 的 防火 墙 才 好 。 我 们 这 里 主要 是 开放 


993, 995 两 个 埠 口 啊 | 处 理 的 方法 与 22.2.9 相当 类 似 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 大 约 在 180 行 左右 ， 新 增 底下 两 行 去 ! 

iptables -A INPUT -p TCP -i $EXTIF --dport 993 --sport 1024:65534 -j ACCEPT 
iptables -A INPUT -p TCP -i $EXTIF --dport 995 --sport 1024:65534 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


如 果 你 的 pop3/imap 还 是 决定 不 加 密 的 话 ， 请 将 上 面 的 993/995 改 成 143/110 即 可 ! 


22.4 MUA 软件 : 客户 端的 收发 信和 软件 


设 定 Mail server 不 是 拿 来 好 看 的 ， 当 然 是 要 好 好 的 应 用 他 鹃 ! 应 用 mail server 有 两 种 主要 的 
方式 ， 你 可 以 直接 登入 Linux 主机 来 操作 MTA ， 当 然 也 可 以 透 过 客户 端的 MUA 软 件 来 收发 
信件 ， 底 下 我 们 分 别 介 绍 这 两 种 方式 嘿 ! 


22.4.1 Linux mail 


在 Unix like 的 操作 系统 当中 都 会 存 有 一 支 可 以 进行 收发 信件 的 软件 ， 那 就 是 『 mail 4 这 个 指 
令 。 这 个 指令 是 由 mailx 这 个 软件 所 提供 的 ， 所 以 您 得 要 先 安装 这 个 软件 才 行 。 另 外 ， 由 于 

mail 是 Linux 系统 的 功能 ， 所 以 即使 你 的 port 25 (smtp) 没有 启动 ， 他 还 是 可 以 使 用 的 ， 只 是 
该 封 邮 件 就 只 会 被 放 到 队列 ， 而 无 法 寄 出 去 嚼 1 人 ^ 人 和 ^! 底下 我 们 来 谈 一 谈 最 简单 的 mail 用 法 吧 


。 用 mail 直接 编辑 文字 邮件 与 寄 信 


mail 的 用 法 很 简单 ， 就 是 利用 『 mail [email address] 4 的 方式 来 将 信件 寄 出 去 ， 那 个 [email 
address] 可 以 是 对 外 的 邮件 地 址 ， 也 可 以 是 本 机 的 账号 。 如 果 是 本 机 账号 的 话 ， 可 以 直接 加 
账号 名 称 即 可 。 例如: 『 mailroot J 或 『 mailsomebody@his.host.name 」。 如 果 是 对 外 
寄 信 的 时 候 ， 信 件 预 设 的 『 Mailfrom J 就 会 填写 main.cf 内 那个 myorigin 变数 的 主机 名 

史 | 先 来 试看 看 吧 ! 寄 给 dmtsai@www.centos.vbird 先 : 


[root@www ~]# mail dmtsai@www.centos.vbird 


Subject: Just test &1t ;== 这 里 填写 信件 标题 

This is a test email. &1t;== 底 下 为 信件 的 内 容 ! 

bye bye ! 

, &ILEEE 注 意 2 这 三 行 愉 有 小 数 点 | 代表 结 来 输入 之 意 | 


这 样 就 可 以 将 信件 寄 出 去 了 ! 另外 ， 早 期 的 mail server 是 可 以 接受 IP 寄 信 的 ， 举 例 来 说 : 
mail dmtsai@[192.168.100.254] ， 记 得 IP 要 用 中 括号 包 起 来 。 不 过 由 于 受到 垃圾 邮件 的 影 
响 ， 现 在 这 种 方式 几乎 都 无 法 成 功 的 将 信件 寄 出 了 。 

e@ 利用 已 经 处 理 完毕 的 『 纯 文本 档 」 寄 出 信件 


这 可 不 是 『 附 件 夹 带 4 的 方式 ! 因为 在 mail 这 个 程序 里 面 编辑 信件 是 个 很 痛苦 的 差事 ， 你 不 
能 够 按 上 下 左右 键 来 回 到 刚刚 编辑 有 错误 的 地 方 ， 很 伤 脑筋 。 此 时 我 们 可 以 透 过 标准 输入 来 

处 理 ! 如 果 你 忘记 『 < 代表 的 意义 ， 请 回 到 基础 篇 的 第 十 一 章 bash shell 中 的 数据 流 重 导 

向 瞧 瞧 先 ! 举例 来 说 你 要 将 家 目录 的 .bashrc 寄 给 别人 ， 可 以 这 样 做 : 


[root@www ~]# mail -s 'My bashrc' dmtsai &lt; ~/.bashrc 


e 开始 查阅 接收 的 信件 


寄 信 还 比较 简单 ， 那 么 收 信 呢 ? 同样 的 收 信 还 是 使 用 mail。 直 接 在 提示 字符 之 后 输入 mail 

时 ， 会 主动 的 提取 使 用 者 在 /var/spool/mail 底下 的 邮件 信箱 (mailbox)， 例 如 我 dmtsai 这 个 账 
号 在 输入 mail 后 ， 就 会 将 /varspooymailydmtsai 这 个 档案 的 内 容 读 出 来 并 显示 到 屏幕 上 ， 结 
果 如 下 : 


# 注意 喔 ! 底下 的 身份 使 用 的 是 dmtsai 这 个 用 户 来 操作 mail 这 个 指令 的 哆 ! 
[dmtsai@www ~]$ mail 

Heirloom Mail version 12.4 7/29/08\. Type ? for help. 
"/var/spool/mail/dmtsai": 10 messages 10 new &1t;== 信 箱 来 源 与 新 信件 数 
&gt;N 1 dmtsai@www.centos.vb Mon Aug 8 18:53 18/579 "from vbird" 


有 全) 
N 9 root Tue Aug 9 15:04 19/618 "Just test" 
N 10 root Tue Aug 9 15:04 29/745 "My bashrc" 


& &lt;== 这 个 是 mail 软件 的 提示 字符 ， 可 以 输入 ? 来 察看 可 用 指令 


在 上 面 的 画面 中 ， 显 示 dmtsai 有 一 封 信 ， 且 会 附 上 该 信件 的 发 信者 与 标题 及 收 信 时 间 等 。 你 
可 以 用 的 指令 有 这 些 : 


。 读 信 : (直接 按 Enter 或 输入 数字 后 enter) 有 看 到 『 > 」 那 个 符号 吧 |! 那 表示 目前 mail 
所 在 的 邮件 位 置 ， 你 可 以 直接 输入 Enter 即 可 看 到 该 封 信件 的 内 容 ! 另外， 你 也 可 以 在 
『&J 之 后 的 光标 位 置 输入 号 码 ， 就 可 以 看 该 封 信件 的 内 容 了 ! ( 注 : 如 果 持 续 按 Enter， 
则 会 自 『 >J 符号 所 在 的 邮件 逐次 向 后 读 取 每 封 信 件 内 容 ! ) 


e。 显示 标题 : (直接 数 入 h 或 输入 h 数字 ) 例如 有 100 封 信 ， 要 看 90 封 左 右 的 信件 标题 ， 
就 输入 『h90 4 即 可 。 


。 回复 邮件 : (直接 输入 R ) 如 果 要 回复 目前 『 > J 符号 所 在 的 邮件 ， 直 接 按 下 『RJ 即 可 
进入 刚刚 前 面 介绍 过 的 mail 文字 编辑 画面 哩 ! 你 可 以 编辑 信件 后 传 回去 史 ! 


删除 邮件 : (输入 d 数字 ) 按 下 『d##J 即 可 删除 邮件 |! 例如 我 要 删除 掉 第 2 封 邮件 ， 可 
以 输入 『 d2 」 如 果 是 要 删除 第 10-50 封 邮 件 ， 可 以 输入 『 d10-50 4 来 删除 喔 ! 请 记 
得 ， 如 果 有 删除 邮件 的 话 ， 离 开 mail box 时 ， 要 使 用 『 q J 才 行 |! 


储存 邮件 到 档案 : (输入 s 数字 文件 名 ) 如 果 要 将 邮件 资料 存 下 来 ， 可 以 输入 『 s 村 
filename 4 ， 例 如 我 要 将 上 面 第 10 封 邮 件 存 下 来 ， 可 以 输入 『 s 10 text.txt 4 即 可 将 第 
一 封 邮 件 内 容 存 成 text.txt 这 个 档案 ! 


。 离开 mail : (输入 q 或 xX) 要 离开 mail 可 以 输入 q 或 者 是 X， 请 注意 『 输 入 X 可 以 在 不 更 
动 mail box 的 情况 下 离开 mail 程序 ， 不 管 你 刚刚 有 没有 使 用 d 删除 数据 ; 使 用 q 才 会 将 
删除 的 数据 移 除 。J 也 就 是 说 ， 如 果 你 不 想 更 动 mail box 那 就 使 用 x 或 exit 离开 ， 如 果 
想 要 使 刚刚 移 除 的 动作 生效 ， 就 要 使 用 q 啦 ! 


。 请 求 协助 : 关于 mail 更 详细 的 用 法 可 以 输入 help 就 可 以 显现 目前 的 mail 所 有 功能 ! 


上 面 是 简易 的 mail 收 信 功 能 ! 不 过 ， 我 们 曾经 将 信件 转 存 下 来 的 话 ， 那 该 如 何 读 取 该 信件 
呢 ? 例 如 读 取 刚刚 记录 的 text.txt 邮件 信箱 。 其 实 可 以 简单 的 使 用 这 个 方式 来 读 取 : 


[dmtsai@www ~]$ mail -f ~/text.txt 


e。 以 『 附 件 夹带 J」 的 方式 寄 信 


前 面 提 到 的 都 是 信件 的 内 容 ， 那 么 有 没有 可 能 以 『 附 件 J hi ns ? 是 可 以 的 ， 不 
过 你 需要 uuencode 这 个 指令 的 帮忙 ， 在 CentOS 当中 这 个 指令 属于 sharutils ， 请 先 利 用 
yum 来 安装 他 吧 ! 接 下 来 你 可 以 这 样 使 用 : 


[root@www ~]# [利用 uuencode 编码 ] &#124; [利用 mail 寄 出 去 ] 
[root@www ~]# uuencode [实际 档案 ] [信件 中 的 档 名 ] &#124; mail -s ' 标 题 ' email 


# 1\， 将 /etc/hosts 以 附件 夹带 的 方式 寄 给 dmtsai 
[root@www ~]# uuencode /etc/hosts myhosts &#124; mail -S 'test encode' dmtsai 


这 样 就 能 寄 出 去 了 ， 不 过 ， 如 果 收 下 这 封 信件 呢 ? 同样 的 我 们 得 要 透 过 译 码 器 来 解码 啊 !| 你 
得 先 将 该 档案 存 下 来 ， 然 后 这 样 做 : 


# 底下 的 身份 可 是 dmtsai 这 个 用 户 喔 ! 
[dmtsai@www ~]$ mail 
Heirloom Mail version 12.4 7/29/08\. Type ? for help. 
"/var/spool/mail/dmtsai": 11 messages 1 new 8 unread 
1 dmtsai@www.centos.vb Mon Aug 8 18:53 19/590 "from vbird" 


(中 间 消 咯 ), 
U 10 root Tue Aug 9 15:04 30/755 "My bashrc" 
&gt;N 11 root Tue Aug 9 15:12 29/1121 "test encode" 


& s 11 test_encode 
"test_encode" [New file] 31/1141 
& exit 


[dmtsai@www ~]$ uudecode test_encode -o decode 
加 密 楼 输出 档 
[dmtsai@www ~]$ 11 *code* 


-rw-r--r--. 1 dmtsai dmtsai 380 Aug 9 15:15 decode &1t ;== 译 码 后 的 正确 数据 
-rw-rw-r--. 1 dmtsai dmtsai 1121 Aug 9 15:13 test_encode &1lt;== 内 文 会 有 乱码 


虽然 mail 这 个 指令 不 是 插 好 用 的 ， 不 过 至 少 他 可 以 提供 我 们 在 Linux 纯 文本 模式 下 的 一 个 简 
单 的 收发 信件 功能 ! 不 过 ， 目 前 有 个 更 棒 的 替代 方案 ， 那 就 是 mutt 这 玩意 儿 鹃 ! 


22.4.2 Linux mutt 


mutt 除了 可 以 仿真 mail 这 个 指令 之 外 ， 他 还 能 够 透 过 pop3/imap 之 类 的 协议 去 读 取 外 部 的 信 
件 喔 ! 所 以 这 家 伙 昌 的 很 不 赖 ! 让 我 们 来 玩 玩 mutt 这 个 好 物 吧 ! 在 开始 底下 的 动作 前 ， 请 使 
用 yum install mutt 安装 好 它 吧 | 


。 直接 以 mutt 进 送信 件 的 动作 : 含 快速 附件 夹带 文件 
mutt 的 功能 也 很 多 ， 我 们 先 来 看 看 mutt 的 基本 语法 好 了 ， 再 来 开始 进行 练习 吧 ! 


[root@www ~]# mutt [-a 附加 档 ] [-i 内 文档 ] [-b 秘密 副本 ] [-c 一 般 副本 ] \ 
&gt; [-s 信件 标题 ] email 地 址 

选项 与 参数 : 

-a 附加 档 : 后 面 就 是 你 想 要 传送 给 朋友 的 档案 ， 是 附加 档案 ， 不 是 信件 内 容 喔 ! 

- 工 内 文档 : 就 是 信件 的 内 文部 分 ， 先 编写 成 为 档案 而 已 ; 

-b 秘密 副本 : 原 收 件 者 不 知道 这 封 信 还 会 寄 给 后 面 的 那个 秘密 副本 收 件 者 ; 

-C 一 般 副 本 : 原 收 件 者 会 看 到 这 封 信 还 有 传 给 哪 位 收 件 者 ; 

-s 信件 标题 ; 这 还 需要 解释 吗 9 这 封 信 的 标 头 ! 

email 地 址 : 就 是 原 收 件 者 的 email 哆 ! 


# 1\， 直接 在 线 编写 信件 ， 然 后 寄 给 dmtsai@www.centos.vbird 这 个 用 户 
[root@www ~]# mutt -s ' 一 封 测试 信 ' dmtsai@www.centos.vbird 
/root/Mail 不 存在 。 建 立 吗 ? ([yes]/no): y &Lt;== 第 一 次 用 才 会 出 现 这 个 讯息 
To: dmtsaiQ@www.centos.vbird 

Subject: 一 封 测试 信 

随便 写 写 ! 随便 看 看 一!  &1t;== 会 进入 Vi 画面 编辑 ! 很 棒 ! 


y: 寄 出 q: 中 断 t:To c:CC s:Subj a: 附 加 档案 d: 叙 述 ?: 求 助 &1t;== 按 下 y 寄 出 
From: root &lt;root@www.centos.vbirdg&gt; 
To: dmtsaiQ@www.centos.vbird 
Cee 
Bcc : 
Subject: 一 封 测试 信 
Reply-To: 
Fcc: ~/sent 
Security: 清除 


-- 附件 
- I 1 /tmp/mutt-ww-2784-0 [text/plain, 8bit, utf-8, 0.1K] 


# 2\， 将 /etc/hosts 当成 信件 内 容 寄 给 dmtsai@www.centos.vbird 这 个 用 户 
[root@www ~]# mutt -s 'hosts' -i /etc/hosts dmtsai@www.centos.vbird 
# 记得 最 终 在 Vim 底下 要 按 下 :wq 来 储存 寄 出 喔 ! 


与 mail 在 线 编写 文字 不 一 样 ，mutt 竟然 会 呼叫 vi 让 你 去 编辑 你 的 信件 ! 如 此 一 来 ， 当 然 不 需 
要 预先 编写 信件 内 文 了 1! 这 上 站 是 让 人 感到 非常 的 开心 啊 | 而 且 整 个 画面 非常 的 直觉 化 ! 相当 
容易 处 理 呢 ! 那么 如 果 需 要 附件 夹带 呢 ? 尤其 是 夹带 binary program 时 ， 可 以 这 样 做 : 


# 1\N， 将 /usr/bin/passwd 当成 附件 夹带 ， 寄 给 dmtsai@www.centos .vbird 用 户 
[root@www ~]# mutt -s ' 附 件 ' -a /usr/bin/passwd -- dmtsai@www.centos.vbird 
To: dmtsaiQ@Qwww.centos.vbird 

Subject: 附件 

不 过 是 个 附件 测试 ! 


yi 人 出 “q3 中 斯 :TO ,CCC SsS0bj :从 加 楼 案 ”d'! 反 壕 ?7: 求 助 ”&1t;== 按 VW 送出 
From: root &lt;root@www.centos.vbirdg&gt; 
To: dmtsai@www.centos.vbird 
CCR 
Bcc : 
Subject: 附件 
Reply-To: 
Fcc: ~/sent 
Security: 清除 


-- 附件 


-I 1/tmp/mutt-ww-2839-0 [text/plain, 8bit, utf-8, 0.1K] &lt;== 内 文档 
A 2 /usr/bin/passwd [applica/octet-stre, base64, 31K] &1lt;== 附 加 档 


看 到 上 表 中 的 附件 底下 那 两 行 吗 ?| 代表 的 是 直接 附 在 信件 内 的 内 文 ，A 才 是 附加 档案 ! 这 样 
看 懂 了 吗 ? 不 过 你 想 要 使 用 mutt 来 附加 档案 时 ， 必 须要 有 底下 的 注意 事项 才 行 : 


。 『 -afiename J」 这 个 选项 必须 是 在 指令 的 最 后 面 ， 如 果 上 述 的 指令 改写 成 : 『 mutt -a 


/usrbin/passwd -s "附件 " ... J 就 不 行 ! 会 失败 的 |! 
e 在 文件 名 与 email 地 址 之 间 需 要 加 上 两 个 连续 减 号 『 -- 」 才 行 ! 如 同上 面 测试 的 指令 模 
样 ! 


e。 以 mutt 来 读 不 同 通讯 协议 的 信箱 


与 mail 比较 之 下 ，mutt 可 以 直接 透 过 网 络 的 pop3, imap 等 通讯 协议 来 读 信 ， 是 相当 优秀 的 
一 个 功能 哆 ! 至 少 乌 哥 觉得 真 好 用 ! 底下 同样 的 ， 先 来 瞧 瞧 可 以 使 用 的 语法 ， 然 后 再 来 看 看 
一 些 练习 。 


[root@www ~]# mutt [-f 信箱 位 置 ] 
选项 与 参数 : 
-f 信箱 位 置 : 如 果 是 imaps 的 信箱 ， 可 以 这 样 : 『 -f imaps:// 服 务 器 的 IP J 


# 1\， 直 接 用 dmtsai 的 身份 读 取 本 机 的 信箱 内 容 
[dmtsai@www ~]$ mutt 
:离开 d: 删 除 U: 反 删除 S: 储 存 m: 信 件 r: 回 复 g: 群 组 ?3: 求 助 


. . (中 间 省 咯 ).... 
11 0 + Aug 09 root ( 12) test encode 
12 0 + Aug 09 root ( 1) 一 封 测 试 信 
13 0 + Aug 09 root ( 8) hosts 

14 0 + Aug 09 root ( 604) 附件 

---Mutt: /var/spool/mail/dmtsai [Msgs:14 01d:11 74K]---(date/date)------- (all)-- 


# 2\， 在 上 面 的 信件 14 号 内 容 反 白 后 ， 直 接 按 下 Enter 会 出 现 如 下 画面 1 : 

i: 离 开 -: 上 一 页 &lt;Space&gt; :下 一 页 V: 显 示 附 件 。 d: 删 除 rr: 回复 j: 下 一 个 ?: 求 助 
Date: Tue, 9 Aug 2011 15:24:34 +0800 

From: root &lt;rootQ@www.centos.vbirdg&gt; 

To: dmtsaiQ@www.centos.vbird 

Subject: 附件 

User-Agent: Mutt/1.5.20 (2009-12-10) 


[-- 附件 #1 --] 
[-- 种 类 : textplain， 编 码 : 8bit， 大 小 :0.1K --] 


不 过 是 个 附件 测试 ! &1t ;== 信 件 的 内 文部 分 


[-- 附件 #2: passwd --] &1t ;== 说 明 信 件 的 附件 夹带 部 分 
[-- 种 类 : applicationoctet-stream; 编码 : base64， 大 小 :41K --] 


[-- application/octet-stream 尚未 支持 ( 按 'V' 来 显示 这 部 份 ) --] 
-0 +- 14/14: root 附件 -- (all) 
# 3\， 在 上 面 画 面 按 下 V 后 ， 会 出 现 相关 的 附件 数据 : 
qd: 离开 S: 储 存 &#124; :管线 p: 显 示 ?3: 求 助 
J 1 &lt;no descriptiong&gt,; [text/plain, 8bit, utf-8, 0.1K] 


A 2 passwd [applica/octet-stre, base64, 41K] 
天 反 白 处 按 下 S 就 能 够 储存 附加 档案 喝 ! 


= 天 玉 刘 
最 后 离开 时 ， 一 直 按 下 q， 然 后 参考 出 现 的 信息 来 处 理 即 可 这 就 是 本 机 信件 的 收 信 方 式 ! 非 


常 简单 ! 附加 档案 的 储存 方面 也 很 容易 ， 是 非常 nl ! 那 如 果 是 外 部 信箱 呢 ? 举例 来 
说 ， 我 用 root 的 身份 去 收 dmtsai 的 imaps 信件 ， 会 是 怎样 的 情况 呢 ? 


# 1\， 在 服务 器 端 必须 要 让 mail 这 个 群 组 能 够 使 用 dmtsai 的 家 目录 ， 所 以 要 这 样 : 
[dmtsai@www ~]$ chmod a+x ~ 


# 2\， 开 始 在 客户 端 登 入 imaps 服务 器 取得 dmtsai 的 新 邮件 与 邮件 文件 夹 
[root@www ~]# mutt -f imaps://www.centos.vbird 
q :离开 ?3: 求 助 


www.centos.vbird dmtsai@www.centos.vbird 
KSU 

DIC 

Tainan Taiwan TW 


这 个 验证 的 派发 者 : 
www.centos.vbird dmtsai@www.centos.vbird 
KSU 
DIC 
Tainan Taiwan TW 


这 个 验证 有 效 
由 Tue, 9 Aug 2011 06:45:32 UTC 
至 Wed, 8 Aug 2012 06:45:32 UTC 


SHA1 Fingerprint: E86B 5364 2371 CD28 735C 9018 533F 4BC0 9166 FD03 
MD5 Fingerprint: 54F5 CA4E 86E1 63CD 25A9 707E B76F 5B52 


-- Mutt: SSL _ Certificate check (certificate 1 of 1 in chain) 
(1) 不 接受 ，(2) 只 是 这 次 接受 ，(3) 永 远 接 受 &lLt;== 这 里 要 填写 2 或 3 才 行 ! 
在 www.centos.vbird 的 使 用 者 名 称 : dmtsai 

dmtsai@www.centos.vbird 的 密码 : 


最 终 在 密码 设 定 正确 后 ， 你 就 会 看 到 刚刚 我 们 所 看 到 的 信件 了 ! 不 过 要 注意 的 是 ， 如 果 你 的 
用 户 家 目录 在 非 正 规 目 录 ， 那 么 可 能 会 出 现 SELinux 的 错误 ， 这 时 就 得 要 重新 修订 一 下 你 的 
SELinux 安全 本 文 的 类 型 哩 ! 如 此 一 来 ， 我 们 就 直接 以 文本 模式 来 取得 网 络 邮件 信箱 ! 这 实 
在 是 非常 方便 的 一 件 事 ! 只 是 没有 图 文 并 该 而 已 | A ^ 


22.4.3 Thunderbird 好 用 的 跨 平 台 (Windows/Linux X) 软件 


自由 软件 最 大 的 好 处 之 一 就 是 该 软件 大 多 可 以 进行 移植 ， 也 就 是 在 任何 操作 系统 上 面 几乎 都 
能 够 执行 该 软件 的 意思 。 因此 学 习 自 由 软件 的 好 处 就 是 ， 你 不 必 因 为 转换 操作 系统 而 学 习 不 
同 的 操作 环境 1 MUA 也 有 自由 软件 ! 那 就 是 Mozilla 基金 会 推出 的 ThunderBird ( 雷 鸟 ) 这 个 
好 用 的 吹 吹 ， 你 可 以 在 底下 的 网 址 上 面 找到 繁体 中 文 的 软件 : 


e http://moztw.org/thunderbird/ 


有 鉴于 目前 客户 端 还 是 以 Windows 操作 系统 为 大 宗 ， 所 以 底下 的 说 明 主 要 是 在 Windows 7 
上 头 的 安装 与 设 定 为 主 。 目 前 (2011/08) 最 新 的 Thunderbird 已 经 出 到 5.x 了 ， 所 以 鸟 哥 以 繁 
体 中 文 的 5.x 为 范例 来 介绍 嘿 。 下 载 完毕 的 安装 过 程 鸟 哥 省 略 了 ， 因 为 一 直下 一 步 而 已 。 鸟 哥 
直接 跳 到 第 一 次 启动 Thunderbird 的 介绍 ， 和 希望 对 大 家 有 帮助 哆 ! 鸟 哥 是 以 
dmtsai@www.centos.vbird 这 个 账号 为 范例 来 说 明 的 哎 1 初次 启动 会 出 现下 图 : 


向 可 2 ， 让 朗 芝 有 久 允 加 这 科 第 二 山 
马 梧 的 LinuX 和 私房 久 :服务 夸 东 芭 属 第 三 乒 





您 的 六 各 (NN):“” 肩 哥 哥 称 的 名 字 ， 用 蔷 室 示 左 您 的 地 件 上 


Email 位 直 全 : dmtsai@www.centos.vb 十 
eeeeee oo JM 
记 住 安 乌 (MD 
图 22.4-1、 第 一 


次 启动 Thunderbird 的 示意 图 


由 于 是 第 一 次 启动 ， 所 以 thunderbird 里 面 没有 任何 识别 数据 。 此 时 你 可 以 填写 你 要 在 email 
上 面 让 人 家 看 到 的 资料 ， 以 及 包括 你 登入 远程 信箱 的 账号 密码 等 信息 。 上 图 鸟 哥 的 昵称 为 
『 岛 哥哥 ， 而 Email 是 要 给 收 件 者 看 到 的 ， 密 码 当 然 就 是 自己 的 不 外 流 一 填 完 之 后 按 下 
『 继 续 J 吧 | 








您 的 大 名 (NM): 户 可 可 您 的 名字 ;! 用 式 旺 示 幸 人 
Email 位 让 昌 : vtsai@www -centosvbird 
三 二 D @9@eee 
同 荡 仁 空 寺 (人 ) 


级 Thunderbird 车 斌 寻找 您 的 贝 主 设 定 值 失败 ” 。 ] 改 成 正确 的 主机 名 


dmtsai 





2. 改 成 正确 的 通讯 协议 N 
4 Fe 


图 22.4-2、Thunderbird 主动 的 以 用 户 信 息 尝试 登入 服务 器 


由 于 刚刚 图 22.4-1 有 输入 账号 与 密码 信息 ， 因 此 ， 在 这 一 个 步骤 中 ，Thunderbird 会 主动 的 
尝试 登入 远程 信箱 ! 不过， 好像 会 抓 取 错误 的 信息 的 样子 。 如 果 申 的 抓 错 了 ， 请 修改 笠 头 1 
指 的 服务 器 主机 名 ， 以 及 通讯 协议 的 相关 设 定 值 ， 按 下 『 重 新 侦 测 」， 确 定 提 到 的 数据 是 正 
确 了 ， 再 按 下 『 建 立 账号 」 或 『 进 阶 设 定 」 (箭头 4 指 的 地 方 ) 即 可 ! 如 果 你 很 好 奇 进 阶 设 定 里 
面 有 啥 ， 点 选 箭头 4 指 的 地 方 ， 会 出 现 如 下 的 详细 资料 : 


22.4 MUA 软件 : 客户 端的 收发 信和 软件 853 
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团 冬 W ”10 向 分 比 检 查 新 邮件 
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@ 和 到 此 次 和 天 O) 
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图 22.4-3、 手 动 修改 账号 的 相关 参数 


如 上 图 所 示 ， 点 选 服务 器 设 定 项 目 ， 然 后 去 查阅 一 下 收 信 的 服务 器 设 定 是 否 正确 ? 若 正 确 的 
话 ， | | 然后 会 出 现 如 下 的 图 示 ， 要 你 确定 是 否 使 用 Thunderbird 作为 默认 的 电 
子 邮 件 收 发 软件 就 是 了 ! 直接 点 确定 进入 下 个 步骤 吧 ! 








避 每 次 或 动 Thunderbird 时 部 对 新 术 豆 (A) 





图 22.4-4、 建 立 默 认 的 MUA 软件 示意 图 


由 于 Thunderbird 会 尝试 使 用 你 输入 的 账号 密码 去 登入 远程 服务 器 的 imaps 服务 ， 所 以 就 会 
出 现 如 下 图 一 般 的 凭证 取得 示意 ， 这 时 要 按 啥 ? 当然 是 确认 永久 储存 该 凭证 嘛 1! 很 简单 的 
啊 ! 
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岛 哥 的 Linux 私 房 菜 : 服务 器 架设 篇 第 三 版 


您 正 针 图 杆 鞋 Thunderbird 要 知 何 谅 别 此 护 站 的 设 定 : 
人 请 注意 ， 合 法 的 银行 、 商 店 或 其 他 公开 网 站 不 会 要 求 您 这 度 做 ! 


合 张 二 


洁 情 本 竺 
此 绾 站 委 包 用 年 效 的 资 识 广 别 县 己 ， 梭 剖 (WW)... 


示 知 身分 


源 证 未 受信 任 ， 因 性 尚未 被 名 得 的 源 证 机 柑 圾 壮 : 


图 永 入 能 在 此 例外 四) 
图 22.4-5、 取 得 赁 


证 的 示意 图 





确定 凭证 OK、 账 号 密码 也 OK 的 话 ， 就 可 以 开始 使 用 Thunderbird 啦 ! 正常 使 用 的 图 示 有 点 
像 这 样 : 
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| 让 
1 时 | 
千言 咨 基 六 2 可 > | 从 快速 过 济 : 。 BB 8 证 洲 半 此 部 富 .. <Ctrl+F> pod 
4BEdmtsai@www.centos.vbird 站 2 @ 三 三 lk 二 和。 四 
BS 记 盒 钨 三 告 站 估 日 其 
而 收 件 区 (1 半 hosts © root 下 午 03:20 
Just test 。 root 。 下 午 04:14 医 | 
My bashrc 。 root 。 下 午 04:14 


小 日 于 -| 中 苇 奇 国 信友 | 的 这 释 信 | @ 刑 除 


m) root <root@www.centos.vbird>1 











| 


计 


by 人 @ 一 但 附件 :EE 未知 六 1 县 二 - 


图 22.4-6、Thunderbird 正常 操作 示意 图 


如 果 一 切 成 功 顺利 ， 那 么 你 应 该 会 看 到 如 上 的 画面 了 ! 回 到 刚刚 我 们 查询 到 的 标题 名 为 『 附 
件 」 的 邮件 ， 查 阅 一 下 内 容 ， 嘿 嘿 上 你 会 看 到 内 文 与 附件 都 是 OK 正常 的 啦 ! 而 且 更 开心 的 
是 ， 由 于 是 imaps 的 通讯 协议 ， 因 此 Thunderbird 的 内 容 会 与 服务 器 上 面 的 
/Var/spool/mail/dmtsai 这 个 信箱 内 容 同 步 喔 ! 不 像 POP3 抓 下 来 就 删除 服务 器 的 信件 ! 申 是 
好 好 用 的 软件 啊 1 人 人 ^ 


Tips: 老实 说 ， 由 于 gmail 等 免费 邮件 的 盛行 ， 目 前 连 Openwebmail 自由 软件 都 很 少 人 安装 
了 ! 鸟 哥 上 课时 看 到 的 同学 ， 几乎 全 部 使 用 gmail, yahoo mail, hotmail 等 的 web 接口 的 
MUA， 根 本 没 人 在 用 本 机 端的 MUA 了 ~ 但 是 ， 某 些 时 刻 某 些 过 时 的 信件 还 是 得 要 从 web 
mail 上 面 提 下 来 ， 这 时 ，Thunderbird 就 派 上 用 场 哆 1! ^ 人 和 





22.5 邮件 服务 器 的 进 阶 设 定 


时 至 今日 ， 邮 件 攻 击 主要 的 问题 已 经 不 是 病毒 与 木马 了 ， 大 多 数 的 垃圾 邮件 多 是 钓鱼 以 及 色 
情 广 告 。 网 络 钓鱼 的 问题 在 于 用 户 的 英名 好 奇 心 以 及 较 糟 糕 的 操作 习惯 ， 这 部 份 很 难处 理 。 
色情 广告 则 是 防不胜防 ， 你 想 出 一 个 过 滤 机 制 ， 他 就 使 用 另 一 个 机 制 来 丢 你 ! 用 严格 的 过 滤 
机 制 吗 ? 了 又 可 能 将 正常 的 信件 托 挡 挤 ， 卜 是 要 命 啊 ! 所 以 ， 还 是 请 用 户 直接 删除 比较 好 。 因 
此 ， 在 这 一 个 小 节 当 中 ， 关 于 收 信 的 过 滤 机 制 方面 ， 乌 哥 移 除 了 前 一 版 介绍 的 病毒 扫 瞄 以 及 
自动 学 习 广 告 机 制 了 。 如 果 你 还 是 有 相关 的 需要 ， 可 能 得 要 自行 查 查 相关 的 官方 网 站 哆 ! 不 


好 意思 啦 ! 


另外 ， 底 下 主要 针对 postfix 的 邮件 收 下 过 滤 处 理 ， 以 及 重新 发 送 的 Relay 过 程 进行 介绍 。 这 
两 个 过 程 在 postfix 的 设 定 中 ， 主 要 有 几 个 重要 的 项 目 管理 : 


。 smtpd_recipient_restrictions : recipient 是 收 件 者 的 意思 ， 这 个 设 定 值 主要 在 管理 『 由 本 
机 所 收 下 的 信件 」 的 功能 ， 因 此 大 部 分 的 设 定 都 是 在 进行 邮件 过 滤 以 及 是 否 为 可 信任 邮 
件 的 意思 。 来 源 可 以 是 MTA 或 MUA 的 意思 ; 


。 smtpd_client_restrictions : client 是 客户 端的 意思 ， 因 此 主要 在 管理 客户 端的 来 源 是 否 可 
信任 。 可 以 将 非 正 规 的 mail server 来 信 拒 绝 掉 的 ! 来 源 当 然 就 是 MUA 嘿 ; 


。 smtpd_sender_restrictions : sender 是 寄 件 人 的 意思 ， 可 以 针对 信件 来 源 (对 方 邮件 服务 
器 ) 来 进行 分 析 过 滤 的 动作 。 来 源 理论 上 就 是 MTA 啦 |! 


22.5.1 邮件 过 滤 一 : 用 postgrey 进行 非 正 规 mail server 的 垃 
圾 信 抵 挡 


早期 的 广告 信 很 多 都 是 籍 由 僵尸 计算 机 (已 经 被 当 作 跳板 但 管理 员 却 没有 发 现 或 没有 处 理 的 主 
机 ) 来 发 送 的 ， 这 些 僵 尸 计算 机 所 发 送 的 信件 有 个 很 明显 的 特色 ， 就 是 上 他 只 会 尝试 传送 该 封 
电子 邮件 一 次 ， 不 论 有 无 成 功 ， 该 封 信 就 算 发 出 去 了 ， 故 该 信件 将 被 移出 队列 中 。J 不 过 ， 
合法 的 mail server 运作 流程 就 如 22.2.8 分 析 的 一 般 ， 在 邮件 无 法 顺利 寄 出 时 该 邮件 会 暂时 放 
置 到 队列 中 一 段 时 间 ， 并 一 直 尝 试 将 信件 寄 出 的 动作 ， 预 设 直 到 五 天 后 若 还 是 无 法 寄 出 才 会 
将 信件 退回 。 


根据 这 个 合法 与 非法 的 邮件 服务 器 运作 流程 而 发 展 出 一 套 所 谓 的 明光 (postgrey) 软件 ， 你 可 
以 参考 底下 的 几 个 说 明 来 了 解 这 个 软件 : 


e http://isg.ee.ethz.ch/tools/postgrey/ 
e http:/www.postfix.org/SMTPD_POLICY_README.html 


基本 上 postgrey 主要 的 功能 是 在 记录 发 信 来 源 而 已 ， 若 发 信 来 源 同一 封 信 第 一 次 寄 来 时 ， 
postgrey 黑 认 会 抵挡 他 ， 并 且 将 来 源 地 址 记录 起 来 ， 在 约 5 分 钟 后 ， 若 该 信件 又 传 来 一 次 
时 ， 则 该 信件 会 被 收 下 来 。 如 此 则 可 以 杜绝 非 发 邮件 服务 器 A ! 人 ^1 但 对 
ee er 的 『 白 名 单 (whitelist) 上 来 优先 通过 而 不 抵挡 。 所 以 
说 ， 他 主要 是 这 样 进 : (参考 http://projects.puremagic.com/greylisting/whitepaper.html) 


.确认 发 信和 来 源 是 否 在 白 名 单 中 ， 若 是 则 予以 通过 ，; 
.确认 收 信者 是 否 在 白 名 单 中 ， 若 是 则 予以 通过 ，; 
3， 确 定 这 封 信 是 否 已 经 被 记录 起 来 呢 ? 放行 的 依据 是 : 


o 若 无 此 信件 的 记录 ， 则 将 发 信 地 址 记录 起 来 ， 并 将 信件 退回 ; 

o 若 有 此 信件 的 记录 ， 但 是 记录 的 时 间 尚 未 超过 指定 的 时 间 ( 预 设 5 分 钟 )， 则 依旧 退 
回信 件 ; 

o 若 有 信件 的 记录 ， 且 记录 时 间 已 超过 指定 的 时 间 ， 则 了 予以 通过 ，; 


整个 过 程 简单 的 来 说 就 是 这 样 而 已 。 不 过 为 了 要 快速 的 达成 postgrey 的 下 记录 J 能 力 ， 所 以 
数据 库 系统 又 是 不 可 避免 的 东西 。 且 postgrey 是 由 perl 写成 的 ， 你 可 能 也 需要 加 入 很 多 相依 
的 per| 模块 才 行 。 总 的 来 说 ， 你 需要 的 软件 至 少 要 有 : 


。 BerkeleyDB : 包括 db4, db4-utils, db4-devel 等 软件 : 

。 Perl : 使 用 yum install perl 即 可 ; 

。 Perl 模块 : perl-Net-DNS 是 CentOS 本 身 有 提供 的 ， 其 他 没有 提供 的 可 以 到 
http://rpmfind.net/ 去 搜寻 下 载 。 


。 安装 流程 : 
因为 CentOS 官方 已 经 提供 了 一 个 连结 可 以 找到 所 有 的 在 线 yum 安装 方式 ， 你 可 以 参考 : 


e 官网 介绍 : http://wiki.centos.org/HowTos/postgrey 
e 在 线 安装 软件 : http://wiki.centos.org/AdditionalResources/Repositories/RPMForge 


鸟 哥 假设 你 已 经 下 载 了 http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2- 
2.el6.rf.x86 64.rpm 这 个 软件 且 放 置 到 /root 底下 ， 然 后 这 样 做 : 


[root@www ~]# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt 
[root@www ~]# rpm -ivh rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm 
[root@www ~]# yum install postgrey 


上 述 的 动作 在 进行 数字 签名 档案 的 安装 、yum 配置 文件 的 建 置 ， 以 及 最 终 将 postgrey 透 过 网 
络 安装 起 来 而 已 ! 整个 流程 简单 到 不 行 呢 ! 最 重要 的 是 ， 找 到 适合 你 的 yum 配置 文件 软件 来 
装 


安装 就 是 了 | 


e 启动 与 设 定 方式 : 


因为 postgrey 是 额外 的 一 个 软件 ， 因 此 我 们 还 0 它 视 为 一 个 服务 来 启动 ， 同 时 
postgrey 是 本 机 的 socket 服务 而 非 网 络 服务 ， 他 只 提供 给 本 机 的 postfix ee ， 
因此 观察 的 方式 并 不 是 观察 TCP/UDP ! 底下 让 我 们 来 瞧 瞧 启动 与 观察 的 过 

吧 | 


[root@www ~]# /etc/init.d/postgrey start 

[root@www ~]# chkconfig postgrey on 

[root@www ~]# netstat -anlp &#124; grep postgrey 

Active UNIX domain sockets (servers and established) 

Proto RefCnt Type State PID/Program Path 

unix 2 STREAM LISTENING 17823/socket /var/spool/postfix/postgrey/socket 


上 表 中 最 重要 的 就 是 那个 输出 的 path 项 目 啦 ! /var/spool/postfix/postgrey/socket 是 用 来 做 为 
程序 之 间 的 数据 交换 ， 这 也 是 我 们 的 postfix 要 将 信件 交 给 postgrey 处 理 的 一 个 相当 重要 的 
接口 ! 有 了 这 个 数据 后 ， 接 下 来 我 们 才能 够 开始 修改 postfix 的 main.cf 史 ! 


[root@www ~]# vim /etc/postfix/main.cf 

# 1\， 更 改 postfix 的 main.cf 主 配置 文件 资料 : 

# 一 般 来 说 ，smtpd_recipient_restrictions 得 要 手动 加 入 才 会 更 动 默 认 值 : 

smtpd_recipient_restrictions = 
permit_mynetworks, &1t ; == 默认 值 ， 允 许 来 自 et Ne 设 定 值 的 来 源 
reject_unknown_sender_domain, &lt; Bs 网 域 (限制 来 源 MTA ) 
reject_unknown_recipient_domain，&1t;== 拒 绝 不 明 的 收 件 者 (限制 目标 MTA) 
reject_unauth_destination, &lt; -= 默认 值 ， 拒绝 不 信任 的 目标 
“*check_policy_service unix: /var/spool/postfix/postgrey/socket** 

# 重点 是 最 后 面 那 一 行 ! 就 是 指定 使 用 unix socket 1 postgrey EC 

# 后 续 我 们 还 有 一 些 广告 信 的 抵挡 机 制 ， 特 别 建议 您 将 这 个 postgrey 的 设 定 值 写 在 最 后 ， 

# 因为 他 可 以 算是 我 们 最 后 一 个 检验 的 机 制 喔 ! 


# 2\， 更 改 postgrey 的 抵挡 秒 数 ， 建 议 将 原本 的 300 秒 人 分 钟 ) 改 为 60 秒 较 佳 : 
[root@www ~]# vim /etc/sysconfig/postgrey  &Lt;== 预 设 不 存在 ， 请 手动 建立 
OPTIONS="- -unix= /var/spool/postfix/postgrey/socket --delay=60" 
# 重点 是 --delay 要 抵挡 几 秒 钟 ， 默 认 值 为 300 秒 ， 我 们 这 里 改 为 69 秒 等 待 。 


[root@www ~]# /etc/init.d/postfix restart 
[root@www ~]# /etc/init.d/postgrey restart 


由 于 过 往 的 经 验 指出 ， 等 待 5 分 钟 有 时 候 会 让 某 些 正常 的 mail server 也 会 被 拒绝 好 久 ， 对 于 
紧急 的 信件 来 说 ， 这 样 有 点 不 妥 。 因此 ，CentOS 官网 也 建议 将 这 个 数值 改 小 一 点 ， 例 如 60 
秒 即 可 。 反 正 ， 不 正常 的 信件 第 一 次 寄 就 会 被 拒绝 ， 等 多 久 似乎 也 不 是 这 么 重要 了 。 然 后 ， 
在 postfix 的 设 定 中 ， 默 认 值 仅 有 允许 本 机 设 定 (permit_mynetworks) 以 及 拒绝 非 信 任 的 目标 
(reject_unauth_destination)， 乌 可 根据 经 验 ， 先 加 入 拒绝 发 件 人 (MTA) 的 不 明 网 域 以 及 拒绝 
收 件 者 的 不 明 网 域 的 信件 了 ， 这 样 也 能 够 减少 一 扒 不 明 的 广告 信件 。 最 终 才 加 入 postgrey 的 
分 析 。 


要 注意 的 是 ，smtpd_recipient_restrictions 里 面 的 设 定 是 有 顺序 之 分 的 ! 以 上 面 的 流程 来 说 ， 
re 

任 的 目标 也 会 被 拒绝 ， 这 些 流程 完毕 之 后 ， 才 开始 正常 信件 的 postgrey Ce ! 这 样 其 

已 经 可 以 克服 一 堆 广告 信 了 上 ! 接 下 来 ， 让 我 们 测试 看 看 postgrey 有 没有 正常 运作 ! es 
寄 一 封 信 到 本 机 来 吧 ! 例如 寄 给 dmtsai@www.centos.vbird ， 然 后 查 一 下 /var/log/maillog 的 
内 容 看 看 : 


Aug 10 02:15:44 www postfix/smtpd[18041]: NOQUEUE: reject: RCPT from vbirdwin7[192.168.10 


“| ” 








鸟 哥 事先 取消 permit_mynetworks 之 后 才 开 始 测试 ， 测 试 完毕 后 又 将 permit mynetworks 加 
回来 才 好 ! 这 样 才能 看 到 上 述 的 资料 。 这 表示 postgrey 已 经 开始 顺利 运作 了 ! 并 且 来 源 主 机 
的 相关 记录 也 已 经 记载 在 /var/spool/postfix/postgrey/ 目录 下 史 ! 如 此 一 来 您 的 postfix 将 可 以 
透 过 postgrey 来 挡 掉 一 些 英 名 其 妙 的 广告 信 史 | 


e。 设 定 不 受 管制 的 白 名 单 : 


不 过 postgrey 也 是 有 缺点 的 ， 怎 么 说 呢 ? 因为 postgrey 预 设 会 先 将 信件 退回 去 ， 所 以 你 的 信 
件 就 可 能 会 发 生 延迟 的 问题 ， 延 迟 的 时 间 可 能 是 数 分 钟 到 数 小 时 ， 端 看 你 的 MTA 设 定 而 定 。 
如 果 你 想 要 让 『 某 些 信任 的 邮件 主机 不 需要 经 过 postgrey 的 抵挡 机 制 ] 时 ， 就 得 要 开放 和 白 名 
单 吧 ! 
白 名 单 的 开局 也 很 简单 啊 ， 直 接 编写 /etc/postfix/postgrey_whitelist_clients 这 个 档案 即 可 。 
假设 你 要 让 鸟 哥 的 邮件 服务 器 可 以 自由 的 将 信 寄 到 你 的 MTA 的 话 ， 那 么 你 可 以 在 这 个 档案 内 
加 入 这 一 行 : 

[root@www ~]# vim /etc/postfix/postgrey_whitelist_clients 

mail.vbird.idv.tw 

www.centos .vbird 

# 将 主机 名 写 进 去 吧 ! 


[root@www ~]# /etc/init.d/postgrey restart 


如 果 你 还 有 更 多 信任 的 MTA 服务 器 的 话 ， 将 他 写 入 这 个 档案 当中 ! 那 他 就 可 以 略 过 postgrey 
的 分 析 吧 ! 更 进 阶 的 用 法 就 得 要 人 靠 您 自己 去 发 气 嘿 ! ^ 人 和 ^ 


22.5.2 邮件 过 滤 二 : 关于 黑 名 单 的 抵挡 机 制 


还 记得 22.1.5 讲 到 的 Open Relay 的 问题 吧 ? 你 的 MTA 可 千 万 不 能 成 为 Open Relay 的 状 
况 ， 否 则 对 你 的 网 络 与 下 信用 J 影响 很 大 喔 ! 一 般 来 说 ， 只 要 是 Open Relay 的 邮件 MTA 都 
会 被 列 入 黑 名 单 当 中 ， 例 如 台湾 地 区 的 学 术 网 络 黑 名 单 以 及 因特网 社会 上 提供 的 黑 名 单数 据 
库 : 

e http://rs.edu.tw/tanet/spam.html 

e http://cbl.abuseat.org/ 


想 要 跟 我 的 mail server 联机 时 ， 我 当然 可 以 『 合 理 的 怀疑 该 信件 是 有 问题 的 14 您 说 是 吧 ! 
所 以 来 自 黑 名 单 或 者 是 要 送 至 黑 名 单 的 信件 最 好 是 不 要 接受 啦 ! 


您 当然 可 以 自行 前 往 该 网 站 将 有 问题 的 主机 列表 给 他 加 入 自己 的 邮件 主机 抵挡 机 制 当 中 ， 不 
过 就 是 不 太 人 性 化 ! 既然 因特网 社会 已 经 提供 了 黑 名 单数 据 库 了 ， 我 们 就 可 以 利用 这 个 数据 

库 来 抵挡 嘛 ! 在 决定 是 否 进行 Relay 之 前 ， 先 要 求 我 们 的 postfix 前 往 追 踪 黑 名 单 的 数据 库 ， 
若 目标 的 IP 或 主机 名 是 黑 名 单 的 一 员 ， 则 我 们 就 将 该 信件 拒绝 哩 |! 


Postfix 设 定 黑 名 单 检验 丨 的 很 简单 ， 你 只 要 这 样 做 即 可 : 


[root@www ~]# vim /etc/postfix/main.cf 
smtpd_recipient_restrictions = 
permit_mynetworks, 
reject_unknown_sender_domain, 
reject_unknown_recipient_domain, 
reject_unauth_destination, 
reject_rb]l_client cbl.abuseat.org, 
reject_rb]l]_client bl.spamcop.net, 
reject_rb]l_client cblless.anti-spam.org.cn, 
reject_rb]l_client sbl-xbl.spamhaus.org, 
check_policy_service unix:/var/spool/postfix/postgrey/socket 
# 请 注意 整个 设 定 值 的 顺序 才 好 1 在 postgrey 之 前 先 检查 是 否 为 黑 名 单 ! 
smtpd_client_restrictions = 
check_client_access hash:/etc/postfix/access, 
reject_rb]l]_client cbl.abuseat.org, 
reject_rb]l_client bl.spamcop.net, 
reject_rb]l_client cblless.anti-spam.org.cn, 


reject_rb]l_client sbl-xbl.spamhaus.org 
# 这 个 设 定 项 目 则 是 与 客户 端 有 关 的 设 定 ! 拒绝 客户 端 本 身 就 是 黑 名 单 的 一 员 ! 
smtpd_sender_restrictions = reject_ non_fqdn_sender, 
reject_unknown_sender_domain 
# 此 项 目 则 在 抵挡 不 明 的 送 件 者 主机 网 域 哆 1 与 DNS 有 关系 的 哪 ! 


[root@www ~]# /etc/init.d/postfix restart 


上 表 当 中 的 特殊 字体 部 分 『reject_rbl_clientJ 是 postfix 内 的 一 个 设 定 项 目 ， 后 面 可 以 接 因 特 
网 上 提供 的 黑 名 单 1 您 得 要 注意 的 是 ， 这 个 黑 名 单数 据 库 可 能 会 持续 的 变动 ， 请 您 先 以 dig 
的 方式 检查 每 个 数据 库 是 否 丨 的 存在 ， 如 果 存 在 才 加 以 设 定 在 您 的 主机 上 头 响 ! (因为 因特网 
上 头 很 多 文献 所 提供 的 黑 名 单数 据 库 似乎 已 经 不 再 持续 服务 的 样子 ! ) 


。 检查 你 的 邮件 服务 器 是 否 在 黑 名 单 当中 ? 


该 数据 库 中 嘛 ! 同时 这 些 数据 库 通常 也 都 有 提供 检测 的 功能 ， 所 以 你 也 可 以 用 该 功能 来 检查 
你 的 主机 是 否 『 了 记录 有 案 」 呢 ?你 可 以 这 样 处 理 的 : 


1.， 是 否 已 在 黑 名 单数 据 库 中 : 确认 的 方法 很 简单 ， 直 接 到 
Fhttp://cbl.abuseat.org/lookup.cgi Jd 输入 您 的 主机 名 或 者 是 IP ， 就 可 以 检查 是 否 已 经 在 
黑 名 单 当 中 ; 


2， 是否 具有 Open Relay : 如 果 要 测试 你 的 主机 有 没有 Open Relay ， 直 接 到 
Thttp://rs.edu.tw/tanet/spam.html 4 这 个 网 页 ， 在 这 个 网 页 的 最 下 方 可 以 输入 你 的 IP 
来 检查 ， 注 意 喔 ， 不 要 使 用 别人 的 emailIP 呐 ! 此 时 该 主机 会 发 出 一 封 mail 的 测试 信 看 
看 你 的 mail server 会 不 会 主动 的 代 转 ， 然后 将 结果 回报 给 您 。 要 注意 的 是 ， 回 传 的 网 页 
可 能 有 编码 的 问题 ， 如 果 出 现 乱码 时 ， 请 调整 为 big5 编码 即 可 。 


3， 如何 移 除 : 如 果 被 检查 出 ， 您 的 主机 已 经 在 黑 名 单 当 中 ， 那 么 请 立刻 将 Open Relay 的 
功能 关闭 ， 改 善 你 的 Mail Server 之 后 ， 你 可 能 还 要 到 各 个 主要 的 Open Relay 网 站 进行 
移 除 的 工作 。 如 果 是 学 术 网 络 的 话 ， 请 与 您 单位 的 管理 员 联 络 。 至 于 一 般 常 见 的 黑 名 单 
数据 库 则 通常 会 主动 的 帮 您 移 除 ， 只 不 过 需要 一 些 时 间 的 测试 就 是 了 。 


总 之 您 从 须要 确定 你 不 在 黑 名 单 当 中 ， 且 最 好 将 黑 名 单 的 来 源 给 拒绝 掉 ! 搞定 1 ^ 人 ^ 


22.5.3 邮件 过 过 疲 三 : 基础 和 出 的 邮件 过 滤 机 制 


在 整 封 信 的 传送 流程 当中 ， 前 过 主机 的 重重 限制 后 ， 最 终 应 该 可 以 到 达 邮 件 队 列 当 
中 。 而 由 队列 当中 要 送出 去 或 者 是 直接 送 到 mailbox 就 得 要 透 过 MDA 的 处 理 。MDA 可 以 加 
挂 很 多 机 制 呢 ! 尤其 是 他 可 以 过 we， 
分 析 整 封 信件 的 内 容 (包括 标 头 以 及 内 文 ) 来 搬 取 有 问题 的 关键 词 ， 然 后 决定 这 封 信 的 『 命 

运 ] 说 1 


咱们 的 postfix 已 经 有 内 建 可 以 分 析 标 头 或 者 是 内 文 的 过 滤 机 制 了 ， 那 就 是 /etc/postfix/ 目录 
下 的 header_checks 以 及 body_checks 这 两 个 档案 啊 ! 在 预 设 的 情况 下 这 两 个 档案 不 会 被 
postfix 使 用 ， 你 必需 要 用 底下 的 设 定 来 启用 他 : 


[root@www ~]# vim /etc/postfix/main.cf 
header_checks = regexp:/etc/postfix/header_checks 
body_checks = regexp:/etc/postfix/body_checks 

# 那个 regexp 代表 的 是 『 使 用 正规 表示 法 J 的 意思 啦 ! 


[root@www ~]# touch /etc/postfix/header_checks 


[root@www ~]# touch /etc/postfix/body_checks 
[root@www ~]# /etc/init.d/postfix restart 


接 下 来 你 必需 要 自行 处 理 header_checks 以 及 body_checks 的 规则 设 定 ， 在 设 定 前 请 您 确认 
『 你 对 于 正规 表示 法 是 熟悉 的 」〗 才 行 ! 因为 很 多 信息 都 必需 要 透 过 正规 表示 法 来 处 理 啦 ! 然 
后 开始 设 定 的 依据 是 : 

e 只 要 是 # 代表 该 行为 批注 ， 系 统 或 直接 略 过 ; 

e 在 默认 的 规则 当中 ， 大 小 写 是 视 为 相同 的 ; 

e 规则 的 设 定 方法 为 : 





> &gt; /规则 / 动作 显示 在 登录 文件 里 面 的 讯息 &gt; 


请 注意 ， 要 使 用 两 个 斜 线 『 了 /4 将 规则 包 起 来 喔 ! 举 个 例子 来 说 明 : 例如 我 想 要 (1) 抵 挡 
掉 标 题 为 Afunny game 的 信件 ，(2) 并 且 在 登录 文件 里 面 显 示 drop header deny， 则 可 
以 在 header_chekcs 档案 中 可 以 这 样 写 


> &gt; /^Subject:.*A funny game/ DISCARD drop header deny &gt; 


e 关于 动作 有 底下 几 个 动作 : 


o REJECT : 将 该 封 信件 退回 给 原 发 信者 ; 
o WARN : 将 信件 收 下 来 ， 但 是 将 该 封 信 的 基本 数据 记录 在 登录 文件 内 ; 
o DISCARD : 将 该 封 信件 丢 育 ， 并 不 给 予 原 发 信者 回应 ! 


鸟 哥 自己 有 作 一 些 规则 的 比 对 ， 只 不 过 ..…. 效 能 不 好 ! 如 果 您 有 兴趣 的 话 ， 可 以 自行 下 载 来 看 
看 ， 不 过 ， 使 用 的 后 果 请 自行 评估 ! 因为 每 个 人 的 环境 都 不 一 样 嘛 ! 


。 header http://linux.vbird.org/linux_server/0380mail/header_checks 
e body: http://linux.vbird.org/linux_server/0380mail/lbody_checks 


记得 ， 如 果 你 自行 修改 过 这 两 个 档案 后 ， 务 必要 检查 一 下 语法 才 行 ! 


[root@www ~]# postmap -q - regexp:/etc/postfix/body_checks \ 
&gt; &lt; /etc/postfix/body_checks 


如 果 没 有 出 现任 何 错误 ， 那 就 表示 您 的 设 定 值 应 该 没有 问题 啦 ! 另外 ， 你 也 可 以 使 用 
procmail 这 个 抵挡 的 小 程序 来 处 理 。 不 过 ， 乌 哥 觉得 procmail 在 大 型 邮件 主机 当中 ， 分 析 的 
过 程 太 过 于 繁杂 ， 会 消耗 很 多 CPU 资源 ， 因 此 后 来 都 没有 使 用 这 玩意 儿 了 。 


22.5.4 非 信任 来 源 的 Relay : 开放 SMTP 身份 认证 


在 图 22.1-1 的 流程 当中 ， 由 MUA 透 过 MTA 来 寄 发 信件 时 (具有 Relay 的 动作 时 )， 理论 上 
MTA 必需 要 开放 信任 用 户 来 源 才 行 ， 这 就 是 为 啥 我 们 必需 要 在 main.cf 里 头 设 定 
smtpd_recipient_restrictions 那个 设 定 项 目的 原因 了 (mynetworks) ! 不 过 人 总 有 不 方便 的 时 
候 ， 举 例 来 说 ， 如 果 你 的 客户 端 使 用 的 是 拨 接 制 的 ADSL 所 以 每 次 取得 的 IP 都 非 固定 ， 那 如 
何 让 你 的 用 户 使 用 你 的 MTA ?很 麻烦 是 吧 ? 这 个 时 候 SMTP 认证 或 许 有 点 帮助 。 


什么 是 SMTP 呢 ? 就 是 让 你 在 想 要 使 用 MTA 的 port 25 (SMTP 协议 ) 时 ， 得 要 输入 账号 密码 
才能 够 使 用 的 意思 ! 既然 有 了 这 个 认证 的 功能 ， 于 是 乎 ， 你 就 可 以 不 用 设 定 MTA 的 信任 用 户 
项 目 ! 举例 来 说 ， 在 本 章 提 到 的 环境 下 ， 你 可 以 不 用 设 定 mynetworks 这 个 设 定 值 啊 ! 启动 
SMTP 认证 ， 让 你 的 用 户 需要 输入 账 密 才 能 Relay 哆 ! 那 如 何 让 SMTP 支持 身份 认证 ?咱们 
的 CentOS 已 经 有 提供 内 建 的 认证 模块 ， 那 就 是 Cyrus SASL 这 个 软件 的 帮忙 啦 ! 


Cyrus SASL (http://cyrusimap.web.cmu.edu/) 是 Cyrus Simple Authentication and Security 
Layer 的 缩写 ， 他 是 一 个 辅助 的 软件 。 在 SMTP 认证 方面 ，Cyrus 主要 提供 了 saslauthd 这 个 
服务 来 进行 账号 密码 的 比 对 动作 ! 也 就 是 说 : 当 有 任何 人 想 要 进行 邮件 转 递 功能 时 ，Postfix 
会 联络 saslauthd 请 其 代为 检查 账号 密码 ， 若 比 对 通过 则 允许 客户 端 开 始 转 穿 信件 。 


好 了 ， 如 果 你 想 要 使 用 最 简单 的 方式 ， 就 是 直接 透 过 Linux 自己 的 帐 密 来 进行 SMTP 认证 功 
能 ， 而 不 使 用 其 他 如 SQL 数据 库 的 身份 认证 时 ， 在 CentOS 当中 你 应 该 要 这 样 做 : 


站 


1. 安装 cyrus-sasl, cyrus-sasl-plain, cyrus-sasl-md5 等 软件 ; 
2. 启动 saslauthd 这 个 服务 ; 


3. 设 定 main.cf 让 postfix 可 以 与 saslauthd 联系 ; 
4. 客户 端 必 需要 在 寄 信 时 设 定 『 邮 件 主机 认证 J 功能 。 


如 此 一 来 客户 端 才能 够 启动 SMTP AUTH 喔 ! 关于 软件 安装 方面 ， 请 使 用 yum 直接 安装 吧 ! 
不 再 多 鹃 唆 1 底下 我 们 由 启动 saslauthd 这 个 服务 开始 谈 起 吧 ! 


e@ 局 动 saslauthd 服务 : 进行 SMTP 明码 身份 验证 功能 


saslauthd 是 Cyrus-SASL 提供 的 一 个 账号 密码 管理 机 制 ， 他 能 够 进行 挺 多 的 数据 库 验 证 功 
能 ， 不 过 这 里 我 们 仅 使 用 最 单纯 简单 的 明码 验证 (PLAIN) ! 如 果 我 们 想 要 直接 使 用 Linux 系 
统 上 面 的 用 户 信息 ， we olelpassw, /etc/shadow 所 记载 的 账号 密码 相关 信息 时 ， 可 以 
使 用 saslauthd 提供 的 『 shadow J 这 个 机 制 ， 当然 也 能 使 用 『 pamJ 啦 ! 更 多 的 
saslauthd 联机 至 MTA 的 机 制 请 『 man saslauthd 」 来 查阅 吧 。 由 于 我 们 的 帐 密 可 能 来 自 网 
络 其 他 类 似 NIS 服务 器 ， 因 此 这 里 建议 可 以 使 用 pam 模块 嘱 ! 


saslauthd 的 启动 监 是 好 简单 ， 首 先 你 必需 要 选择 密码 管理 机 制 ， 这 个 可 以 使 用 底下 的 方式 处 
理 : 


# 1\， 先 了 解 你 的 saslauthd 有 支持 哪些 密码 管理 机 制 : 

[root@www ~]# saslauthd -V 

saslauthd 2.1.23 

authentication mechanisms: getpwent kerberos5 &lt;u&gt;pam&lt;/u&gt; rimap &lt;u&gt;shado 
# 上 列 的 特殊 字体 部 分 就 是 有 支持 的 ! 我 们 要 直接 用 Linux 本 机 的 用 户 信息 ， 

# 所 以 用 pam 即 可 ， 当 然 也 能 够 使 用 shadow 啦 。 


# 2\， 在 Saslauthd 配置 文件 中 ， 选 定 pam 的 验证 机 制 : 
[root@www ~]# vim /etc/sysconfig/saslauthd 
MECH=pam &1t ;== 其 实 这 也 是 默认 值 啊 ! 

# 这 也 是 默认 值 ， 有 的 朋友 喜欢 单纯 的 shadow 机 制 ， 也 可 以 啦 ! 


# 3\， 那 就 启动 吧 ! 


[root@www ~]# /etc/init.d/saslauthd start 
[root@www ~]# chkconfig saslauthd on 


国 IE 





之 后 我 们 必需 要 告知 Cyrus 这 个 吹 吹 使 用 来 提供 SMTP 服务 的 程序 为 saslauthd 才 行 ， 设 定 
的 方法 很 简单 : 


[root@www ~]# vim /etc/sasl2/smtpd.conf 


log_level: 3 &1t ;== 登 录 文 件 信 息 等 级 的 设 定 ， 设 定 3 即 可 
pwcheck_method: saslauthd  ”&1t;== 就 是 选择 什么 服务 来 负责 密码 的 比 对 啊 
mech_list: plain login &1t ;== 那 么 支持 的 机 制 有 哪些 之 意 1 


我 们 可 以 使 用 mechlist 列 出 特定 支持 的 机 制 。 而 且 saslauthd 是 个 很 简单 的 账号 密码 管理 服 
务 ， 你 几乎 不 需要 进行 什么 额外 的 设 定 ， 直 接 启 动 他 就 生效 了 | 丨 是 好 方便 1! 八 


。 更 改 main.cf 的 设 定 项 目 : 让 postfix 支持 SMTP 身份 验证 


那 我 们 的 postfix 该 如 何 处 理 呢 ? 其 实 设 定 丨 的 很 简单 ， 只 要 这 样 做 就 好 了 : 


[root@www ~]# vim /etc/postfix/main., cf 

# 在 本 档案 最 后 面 增加 这 些 与 SASL 有 关 的 设 定 资料 : 

smtpd_sasl auth_enable = yes 

smtpd_sasl_ security_options = noanonymous 

broken_sasl auth_clients = yes 

# 然后 找到 跟 relay 有 关 的 设 定 项 目 ， 增 加 一 段 允 许 SMTP 认证 的 字样 : 

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl authenticated, &1Lt;== 重 点 在 这 里 ! 注意 顺序 | 
reject_unknown_sender_domain, 
reject_unknown_recipient_domain, 
reject_unauth_destination, 
reject_rb]l_client cbl.abuseat.org, 
reject_rb]l_client bl.spamcop.net, 
reject_rb]l_client cblless.anti-spam.org.cn, 
reject_rb]l_client sbl-xbl.spamhaus.org, 
check_policy_service unix:/var/spool/postfix/postgrey/socket 


[root@www ~]# /etc/init.d/postfix restart 


。 smtpd_sasl_auth_enable 就 是 设 定 是 否 要 启动 sas| 认证 的 意思 ， 如 果 设 定 启动 后 postfix 
网 Cyrus sas| 的 了 欧式 库 ， 而 该 苑 式 库 会 依据 /etc/sasl2/smtpd.conf 的 设 定 来 
结 到 正确 的 管理 账号 与 密码 的 服务 


。 smtpd_sasl_security_options 由 于 不 想 要 让 匿名 者 可 以 登入 使 用 SMTP 的 Relay 功能 ， 
于 是 这 个 项 目 中 只 要 设 定 noanonymous 即 可 。 


。 broken_sasl_auth_clients 这 个 是 针对 早期 非 正 规 MUA 的 设 定 项 目 ， 因 为 早期 软件 开发 
MUA 时 没有 参考 通讯 协议 标准 ， 所 以 造成 在 SMTP 认证 时 可 能 会 发 生 的 一 些 
困扰 。 这 些 有 问题 的 MUA 例如 MS 的 outlook express 第 四 版 就 是 这 样 ! 后 来 的 版 本 应 
该 没有 这 个 问题 。 所 以 这 个 设 定 值 你 也 可 以 不 要 设 定 ! 


。 smtpd_recipient_restrictions 最 重要 的 就 是 这 里 啦 ! 我 们 的 sasl 认证 可 以 放 在 第 二 行 ， 
在 局 域 网 络 这 个 可 信任 区 域 的 后 面 加 以 认证 。 上 表 的 设 定 意义 是 : 局 域 网 络 内 的 MUA 
不 需要 认证 也 能 够 进行 relay ， 而 非 区 网 内 的 其 他 来 源 才 需要 进行 SMTP 认证 之 意 。 


设 定 完毕 也 重新 启动 postfix 之 后 ， 我 们 先 来 测试 看 看 是 否 监 的 提供 认证 了 ? 


向 可 <， 子 ) 户 革 。 有 以 二 加 几 镶 名 二 |! 
马 可 的 LinuX 和 私房 采 :服务 碟 东 人世 属 第 三 用 


[root@www ~]# telnet localhost 25 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is '^]'. 

220 www.centos.vbird ESMTP Postfix 

ehlo localhost 

250-www.centos.vbird 

250-PIPELINING 

250-SIZE 10240000 

250-VRFY 

250-ETRN 

250-AUTH LOGIN PLAIN &1lLt;== 你 得 要 看 到 这 两 行 才 行 哆 ! 
250-AUTH=LOGIN PLAIN 

250-ENHANCEDSTATUSCODES 

250-8BITMIME 

250 DSN 

quit 

221 2.0.0 Bye 


e@ 在 客户 端 启动 支持 SMTP 身份 验证 的 功能 : 以 thunderbird 设 定 为 例 


既然 已 经 在 MTA 设 定 了 SMTP 身份 验证 ， 那 么 我 们 MUA 当然 要 传送 账号 、 密 码 给 MTA 才 
能 通过 SMTP 的 验证 嘛 1 所以， 在 MUA 上 面 就 得 要 加 上 一 些 额 外 的 设 定 才 行 。 我 们 依旧 以 
Thunderbird 来 作为 介绍 ， 请 打开 thunderbird， 选 择 『 工 具 」 -->『 账 号 设 定 」 后 会 出 现 如 下 
画面 : 





admtsal@www.centos.vbird 奇 件 和 伺服 器 (SMTP) 设 定 
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图 22.5-1、 在 Thunderbird 软件 中 设 定 支持 SMTP 验证 的 方式 


请 依据 上 图 的 箭头 号 码 来 指定 ， 先 选择 (1)SMTP 寄 件 服务 器 ; ， 然 后 选择 所 需要 的 寄 件 
SMTP 服务 器 后 ， 点 选 (3) 编 辑 ， 就 会 出 现 上 图 中 的 窗口 项 目 。 选 择 (4) 不 安全 传输 的 密码 


后 ， 在 (5) 填 入 你 要 使 用 的 账号 即 可 。 如 果 要 测试 的 话 ， 记 得 此 客户 端 不 要 在 局 域 网 络 内 ， 否 


则 将 不 会 经 过 认证 的 阶段 ， 因 为 我 们 的 设 定 以 信任 网 域 为 优先 嘛 ! 


如 果 一 切 都 顺利 的 话 ， 那 么 当 客 户 端 以 SMTP 来 验证 时 ， 你 的 登录 档 应 该 会 出 现 类 似 底 下 的 
讯息 才 是 : 
[root@www ~]# tail -n 100 /var/log/maillog &#124; grep PLAIN 


Aug 10 02:37:37 www postfix/smtpd[18655]: 01CD43712: client=vbirdwin7 
[192.168.100.30], sasl method=PLAIN, sasl username=dmtsai 


22.5.5 非 固 定 IP 邮件 服务 器 的 春天 : relayhost 


我 们 上 面 提 到 ， 如 果 你 要 架设 一 部 合法 的 MTA 最 好 还 是 得 要 申请 固定 的 |P 以 及 正确 对 应 的 
反 解 比较 恰当 。 但 如 果 你 一 定 要 用 浮动 IP 来 架设 你 的 MTA 的 话 ， 也 不 是 不 可 以 啦 ， 尤 其 今 
年 ma Su | 府 已 经 可 达 50M/5Mbps 的 下 载 /上 传 速度 了 ! 你 当然 可 以 用 家 庭 网 络 来 架 站 
啊 | 只 不 过 你 就 得 要 透 过 上 层 ISP 所 提供 的 relay 权限 哩 | 这 是 怎么 回 事 啊 ? 让 我 们 来 看 看 一 
ea 





第 一 步骤 


Ne | < 显 永 的 cisat 是 ISP 的 MTA 
[SP 让 的 MM 


对 方 与 你 的 MT&A 直接 沟通 ， 
与 你 的 设 定 有 关 而 已 





你 的 的 MR 目标 MI 图 22.5-2、Relayhost : 利用 
ISP 的 MTA 进行 邮件 转 递 


当 你 的 MTA 要 传 信件 给 目标 MTA 时 ， 如 果 直 接 传 给 目标 MTA， 由 于 你 的 IP 可 能 是 非 固定 
的 ， 因 此 对 方 MTA 恐怕 会 把 你 当成 是 垃圾 来 源 ! 那 如 果 我 们 可 以 透 过 |SP 进行 转 递 呢 ? 从 上 
面 的 图 示 来 看 ， 当 你 要 传 给 目标 MTA 时 : (1) 先 将 信件 交 给 你 的 ISP， 因 为 你 是 1SP 的 客 

户 ， 通 常 来 信 都 会 被 |SP 接受 ， 因 此 这 个 时 候 这 封 信 就 会 被 你 的 |SP 给 relay 出 去 ; (2) 被 
ISP 所 relay 的 信件 到 目标 MTA 时 ， 对 方 会 判断 是 来 自 那 部 ISP 的 MTA， 当 然 是 合法 的 mail 
server， 所 以 该 封 信件 就 毫 无 疑问 的 被 收 下 嚼 1 ^ 人 和 ^ 


不 过 想 要 以 此 架构 来 架设 你 的 MTA 仍 有 许多 需要 注意 的 地 方 : 


是 得 要 有 一 个 合法 的 主机 名 ， 若 要 省 钱 ， 可 以 使 用 DDNS 来 处 理 ; 
上 层 的 ISP 所 提供 的 MTA 必需 要 有 提供 你 所 在 IP 的 relay 权限 ; 
e。 你 不 能 使 用 自 定义 的 内 部 DNS 架构 了 ， 因 为 所 有 relay 的 信 都 会 被 送 至 |SP 的 MTA 


你 还 
。 人 


尤其 是 最 后 一 点 ， 因 为 所 有 外 送 的 信件 全 部 都 会 被 送 到 |SP 处 ， 所 以 像 我 们 之 前 自己 玩 的 

centos.vbird 这 种 非 合法 的 领域 数据 就 没 用 了 ! 为 什么 呢 ? 你 想 想 看 ， 如 果 你 要 将 信件 送 给 
Www.centos.vbird ， 但 由 于 上 述 relayhost 的 功能 ， 所 以 这 封 信 会 被 传 到 |SP 的 MTA 来 处 
理 ， 但 ISP 的 MTA 会 不 会 认识 你 的 centos.vbird ? 这 样 说 ， 可 以 理解 了 吧 ? 


说 是 捍 难 的 ， 做 起 来 却 很 简单 ， 只 要 在 main.cf 里 面 加 设 一 段 数据 即 可 。 假设 你 的 环境 是 台 
湾 地 区 的 hinet 所 提供 的 用 户 ， 而 hinet 提供 的 邮件 主机 为 ms1.hinet.net ， 则 你 可 以 直接 这 
样 设 定 : 

[root@www ~]# vim /etc/postfix/main.cf 

# 加 入 底下 这 一 行 就 对 啦 ! 注意 那个 中 括号 ! 

relayhost = [ms1.hinet.net] 

[root@www ~]# /etc/init.d/postfix restart 


之 后 你 只 要 尝试 寄 一 封 信 出 去 看 看 ， 就 会 了 解 这 封 信 是 如 何 寄 送 的 了 。 看 一 下 登录 档 的 内 容 


[root@www ~]# tail -n 20 /var/log/maillog 

Aug 10 02:41:01 www postfix/smtp[18775]: AFCA53713: to=&lt;qdd@mail.ksu.edu.twé&gt;, 
relay=ms1.hinet.net[168.95.4.10]:25, delay=0.34, delays=0.19/0.09/0.03/0.03, 
dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as F0528233811) 


是 吧 |! 经 由 上 层 ISP 来 转 寄 啦 ! 如 此 一 来 ， 你 的 MTA 感觉 上 就 似乎 是 部 合法 的 MTA 嘿 ! 不 
过 ， 可 别 利 用 这 个 权限 来 小 发 广告 信 啊 ! 因为 您 所 透 过 的 那个 ISP 邮件 主机 可 是 有 记录 你 的 
IP 来 源 ， 如 果 你 乱 来 的 话 ， 后 果 可 是 不 堪 设 想 喔 上 切记 切记 1! 


22.5.6 其 他 设 定 小 技巧 
除了 之 前 谈 到 的 几 个 主要 的 设 定之 外 ，postfix 还 有 提供 一 些 不 错 的 设 定 要 给 大 家 使 用 的 喔 ! 
我 们 可 以 一 个 一 个 来 来 看 看 : 

。 单 封 信件 与 单个 邮件 信箱 的 大 小 限制 
在 预 设 的 情况 下 ，postfix 可 接受 的 单 封 信件 最 大 容量 为 10MBytes ， 不 过 这 个 数值 我 们 是 可 
以 更 改 的 ， 动 作 很 简单 : 

[root@www ~]# vim /etc/postfix/main.cf 


message_size limit = 40000000 
[root@www ~]# postfix reload 


上 面 的 单位 是 bytes， 所 以 我 将 单 封 信件 可 接受 大 小 改 为 40MByte 的 意思 路 ! 请 按照 你 的 环 
境 来 规定 这 个 数值 。 而 从 前 我 们 要 管制 /var/spool/mail/laccount 大 多 是 使 用 文件 系统 内 的 
quota 来 达成 ， 现 在 的 postfix 不 需要 啦 ! 可 以 这 样 做 : 


[root@www ~]# vim /etc/postfix/main.cf 
mailbox_size_ limit = 1000000000 
[root@www ~]# postfix reload 


我 给 每 个 人 1GB 的 空间 啊 1^ ^ 
e。 寄 件 备份 : SMTP 自动 转 寄 一 份 到 备份 原 


收 件 备份 我 们 知道 可 以 使 用 /etc/aliases 来 处 理 的 ， 但 是 如 果 想 要 送 件 也 备份 呢 ?利用 底下 的 
方式 即 可 : 


[root@www ~]# vim /etc/postfix/main.cf 
always_bcc = some@host ,name 
[root@www ~]# postfix reload 


如 此 一 来 任何 人 寄 出 的 信件 都 会 复制 一 份 给 some@host.name 那个 信箱 。 不 过 ， 除 非 您 的 公 
司 很 重视 一 些 商业 机 密 ， 并 且 已 经 公告 过 所 有 同仁 ， 否 则 进行 这 个 设 定 值 ， 鸟 哥 个 人 认为 侵 
犯 隐私 权 很 严重 ! 


。 配置 文件 的 权限 问题 : 权限 错误 会 不 能 启动 postfix 


这 部 份 我 们 以 Sendmail 官方 网 站 的 建议 来 说 明 喔 ! 其 实 也 适用 于 postfix 的 啦 ! 其 中 ， 大 部 
分 是 在 于 『 目 录 与 档案 权限 」 的 设 定 要 求 上 面 : 


。 请 确定 /etc/aliases 这 个 档案 的 权限 ， 仅 能 由 系统 信任 的 账号 来 修改 ， 通 常 其 权限 为 644 
。 请 确定 Mail server 读 取 的 数据 库 (多 半 在 /etc/mail/ 或 /etc/postfix/ 底下 的 *.db 档案 )， 例 
如 mailertable, access, virtusertable 等 等 ， 仅 能 由 系统 信任 的 用 户 读 取 ， 其 他 一 概 不 能 

读 取 ， 通 常 权限 为 640 ; 

e。 系统 的 队列 目录 (/Var/spool/mqueue 或 /var/spool/postfix) 仅 允许 系统 读 取 ， 通 常 权 限 为 
700 ; 

。 请 确定 ~/.forward 这 个 档案 的 权限 也 不 能 设 定 成 为 任何 人 均 可 查阅 的 权限 ， 否 则 您 的 e- 
mail 数据 可 能 会 被 窃取 一 

e 总 之 ， 一 般 用 户 能 够 不 用 ~/.forward 与 aliases 的 功能 ， 就 不 要 使 用 | 


不 过 整体 的 使 用 上 还 是 需要 身 为 网 站 管理 员 的 您 多 费心 ! 多 多 观察 登录 档 啊 ! 
。 备份 资料 : 与 mail 有 关 的 目录 是 哪些 ? 


不 管 什么 时 候 ， 备 份 总 是 重要 的 1 那么 如 果 我 是 单纯 的 Mail Server 而 已 ， 我 需要 的 备份 数据 
有 哪些 呢 ? 


。 /etc/passwd, /etc/shadow, /etc/group 等 与 账号 有 关 的 资料 ; 
。 /etc/mail, /etc/postfix/ 底下 的 所 有 档案 数据 ; 


e /etc/aliases 等 等 MTA 相关 档案 ; 
/home 底下 的 所 有 用 户 数据 ; 


e。 /var/spool/mail 底下 的 档案 与 /var/spool/postfix 邮件 队列 档案 ; 
e。 其 他 如 广告 软件 、 病 毒 扫 瞄 软 件 等 等 的 设 定 与 定义 档 。 


。 错误 检查 : 查 出 不 能 启动 postfix 的 问题 流程 


虽然 Mail 很 方便 ， 但 是 仍然 会 有 无 法 将 信件 寄 出 的 时 候 ! 如 果 您 已 经 设 定好 MTA 了 ， 但 是 总 
是 无 法 将 邮件 寄 出 去 ， 那 可 能 是 什么 问题 呢 ? 你 可 以 这 样 追踪 看 看 : 


1. 


关于 硬件 配备 : 例如 ， 是 否 没 有 驱动 网 卡 ? 是 否 调制 解 调 器 出 问题 ? 是 否 hub 热 当 啦 ? 
是 否 路 由 器 停止 服务 等 等 的 ! 


关于 网 络 参 数 的 问题 : 如 果 连 不 上 Internet ， 那 么 哪里 来 的 Mail Server 呢 ? 所 以 请 先 确 
认 你 的 网 络 已 经 正常 的 启用 了 ! 关于 网 络 的 确认 问题 ， 请 查阅 第 六 章 网 络 侦 错 来 处 理 。 


关于 服务 的 问题 : 请 务必 确认 与 mail server 有 关 的 夫 口 已 经 顺利 启动 ! 例如 port 25， 
110, 143, 993, 995 等 等 ， 使 用 netstat 指令 即 可 了 解 是 否 已 经 启动 该 服务 ! 


关于 防火 墙 的 问题 : 很 多 时 候 ， 很 多 朋友 使 用 Red Hat 或 者 其 他 Linux distribution 提供 
的 防火 墙 设 定 软件 ， 结 果 忘 了 启动 port 25 与 port 110 的 设 定 ， 导 致 无 法 收发 信件 ! 请 特 
别 留意 这 个 问题 喔 ! 可 以 使 用 iptables 来 检查 是 否 已 经 启用 该 port 呢 ! 其 余 请 参考 第 九 
章 防火 墙 设 定 喔 ! 


关于 配置 文件 的 问题 : 在 启动 postfix 或 者 是 sendmail 之 后 ， 在 登录 档 当中 仔细 看 看 有 
无 错误 讯息 发 生 ? 通常 如 果 设 定数 据 不 对 ， 在 登录 文件 当中 都 会 有 记载 错误 的 地 方 。 


其 他 档案 的 设 定 问题 : (1) 如 果 发 现 只 有 某 个 domain 可 以 收 信 ， 其 他 的 同一 主机 的 
domain 无 法 收 信 ， 需 要 检查 $mydestination 的 设 定 值 才 行 ; (2) 如 果 发 现 邮件 被 挡 下 来 
了 ! 而 且 老 是 显示 reject 的 字样 ， 那 么 可 能 被 access 挡住 了 ; (3) 如 果 发 现 邮 件 队 列 
(mailq) 存在 很 多 的 邮件 ， 可 能 是 DNS 死 掉 了 ， 请 检查 /etc/resolv.conf 的 设 定 是 否 正 
确 ! 


其 他 可 能 的 问题 : 最 常 发 生 的 就 是 认证 的 问题 了 |! 这 是 由 于 使 用 者 没有 在 MUA 上 面 设 
定 『 我 的 邮件 需要 认证 4 的 选项 啦 | 请 叫 你 的 用 户 赶 紧 勾 选 吧 | 


还 是 不 知道 问题 的 解决 方案 : 如 果 还 是 查 不 出 问题 的 话 ， 那 么 请 务必 检查 您 的 
/var/log/maillog (有 的 时 候 是 /var/log/mail ， 这 个 要 看 /etc/syslog.conf 的 设 定 )， 当 你 寄 
出 一 封 信 的 时 候 ， 例 如 dmtsai 寄 给 bird2@www.centos.vbird 时 ， 那 么 maillog 档案 里 面 
会 显示 出 两 行 ， 一 行为 fom dmtsai 一 行为 to bird2@www.centos.vbird ， 也 就 是 『 我 由 
哪里 收 到 信 ， 而 这 封 信 会 寄 到 哪里 去 1 4 的 意思 ， 由 这 两 行 就 可 以 了 解 问 题 了 ! 尤其 是 
to 的 那 一 行 ， 里 面包 含 了 相当 多 的 有 用 信息 ， 包 括 邮 件 无 法 传送 的 错误 原因 的 纪录 ! 如 
果 您 对 于 登录 档 不 熟 ， 请 拿 出 『 基 础 学 习 篇 」 里面 的 『 第 十 九 章 、 认 识 登 录 档 4」 一 文 
吧 ! 


22.6 重点 回顾 


e 电子 邮件 服务 器 的 设 定 需 要 特别 留意 ， 以 免 被 作为 广告 信和 与 垃圾 信 的 跳板 ; 

e。 Mail server 使 用 的 主机 名 至 少 需要 A 的 DNS 标志 ， 不 过 最 好 能 够 具有 MX 标志 为 宜 ， 
且 正 反 解 最 好 成 对 ， 比 较 可 以 避免 大 型 mail server 的 抵挡 ; 

邮件 服务 器 主要 是 指 SMTP (简单 邮件 传送 协议 ) 而 已 ， 不 过 要 架设 一 部 可 利用 类 似 
Thunderbird 收发 的 邮件 服务 器 ， 最 好 能 够 具有 SMTP 以 及 POP3 等 通讯 协议 ; 

。 电子 邮件 传送 的 组 件 ， 主 要 有 MUA, MTA, MDA 以 及 最 终 的 Mailbox 等 等 ; 

e 电子 邮件 服务 器 最 需要 搞定 的 地 方 其 实 是 Relay 的 功能 ， 千 万 不 可 Open Relay 喔 ! 
一 封 电子 邮件 至 少 含 有 header 以 及 body 等 数据 在 内 ; 

e。 常见 的 可 以 启动 SMTP 的 软件 有 sendmail, postfix 及 qmail 等 等 。 

为 避免 收 到 大 量 的 广告 信 ， 建 议 您 不 要 将 email address 放 在 因特网 上 ， 若 需要 某 些 功能 
必需 将 邮件 地 址 放 在 网 络 上 时 ， 最 好 能 够 拥有 两 个 邮件 地 址 ， 一 个 用 来 公开 ， 一 个 则 用 
来 作为 自己 的 主要 联络 之 用 。 


22.7 本 章 习 题 


当 你 利用 你 的 MTA 发 信 时 ， 结 果 竟 然 被 退 信 ， 退 信 的 讯息 (/var/log/maillog) 最 主要 的 错 

误 是 『mailloop to meJ ， 请 问 可 能 的 发 生 原因 及 处 理 方式 为 何 ? 可 能 发 生 的 原 ， 

于 你 的 MTA 设 定 项 目 方面 的 主机 名 错误 。 判 断 你 的 MTA 主机 有 多 个 IP 存 在， 不 过 你 并 

ss nn 
， 你 只 要 将 需要 的 主机 名 写 入 /etc/mail/local-host-names 即 可 ， 如 果 是 postfix ， 则 在 

ne 当中 修改 $mydestination 那个 设 定 项 目 即 可 。 

请 列 出 四 个 Mail Server 的 相关 的 组 件 ， 以 及 其 功用 为 何 ? 


o Mail Client : 邮件 客户 端 ， 其 实 就 是 使 用 mail 的 那 位 用 户 所 在 的 计算 机 即 可 称 为 
mail client ; 

o Mail User Agent : 为 一 个 应 用 软件 ， 主 要 的 功能 就 是 收受 邮件 主机 的 电子 邮件 ， 以 
及 提供 用 户 浏览 与 编写 邮件 的 功能 ; 

o Mail Transfer Agent : 为 在 计算 机 与 本 地 端 Mail server 或 Internet 上 面 的 Mail 
server 传送 讯息 与 邮件 的 主机 ; 

o Mail Dilivery Agent : 主要 的 功能 就 是 将 MTA 所 收受 的 本 机 信件 ， 放 置 到 本 机 账户 
下 的 邮件 档案 中 ( Mailbox ) ! 

POP3 与 SMTP 的 功能 为 何 ? 


o SMTP 为 使 用 于 MUA 或 MTA 与 MTA 之 间 的 传输 协议 ， 通 常 使 用 port 25 ， 只 要 主 
机 支持 SMTP ， 并 且 其 他 relay 的 条 件 能 配合 ， 就 可 以 进行 邮件 传递 ! 
o POP3 可 以 提供 使 用 者 经 由 MUA 到 MTA 下 载 邮件 ， 同 时 并 可 将 邮件 从 主机 上 面 删 
除 ! 
请 简单 的 说 明 DNS 里 面 MX 标志 与 Mail 的 关系 为 何 ? MX recode 可 以 可 以 让 mail 
server 经 由 MX 以 及 A (address ) 这 个 记录 来 进行 mail gateway 与 mail route 的 功能 ! 
能 够 达到 的 作用 相当 的 多 | 


什么 是 mailling list ? 在 postfix 底下 有 什么 方法 可 以 不 藉 由 其 他 的 软件 达到 mailling list 
的 功能 ?2 Mailling list 就 是 将 使 用 者 寄 给 一 个 账号 邮件 时 ， 该 账号 会 主动 的 将 该 邮件 传送 
到 所 有 的 用 户 去 ! 有 点 类 似 目 前 的 电子 报 ! 在 sendmail 底下 ， 我 们 可 以 透 过 aliases ( 需 
配合 newaliases) 以 及 ~/.forward 来 达成 喔 ! 

如 何 察 看 邮件 队列 的 内 容 ， 以 及 邮件 队列 内 容 放置 在 何方 ?使 用 mailq 即 可 知道 目前 邮 
件 队 列 的 内 容 ， 而 邮件 队列 虽然 可 以 透 过 sendmail.cf 来 修改 ， 不 过 ， 预 设 情 况 下 ， 都 是 
以 /var/spool/mqueue 为 邮件 队列 目录 。 

什么 是 Open Relay ? 所 谓 的 Open Relay 就 是 ， 不 论 发 信 端 来 自 何 处 ， 您 的 Open 
Relay 的 主机 均 可 以 帮 发 信 端 将 信件 发 送出 去 ， 这 个 称 为 Open Relay 。 如 果 您 的 mail 
server 具有 open relay 的 情况 ， 那 么 很 容易 遭受 到 垃圾 邮件 的 填充 ， 不 但 造成 网 络 带 宽 
的 耗损 ， 也 容易 让 您 的 主机 被 列 入 黑 名 单 当 中 | 


如 果 要 让 Postfix 可 以 收发 来 自 非 本 机 的 外 部 信件 ， 您 可 以 修改 main.cf 里 面 的 什么 参 
数 ? 需要 在 main.cf 里 面 修改 的 变量 主要 有 : 


1. 当 Client 来 自信 任 的 网 域 ， 也 就 是 IP 符合 $mynetworks 的 设 定 值 时 ; 
2， 当 Client 来 自信 任 的 机 器 ， 也 就 是 主机 名 符合 $relay_domains 的 设 定 项 目 时 ; 
3， 当 Client 来 自 不 信任 的 网 域 ， 但 是 去 的 目的 地 主机 端 符合 $relay domains 的 设 定 
时 。 
如 何 察看 您 目前 的 Postfix 服务 器 的 所 有 设 定 参 数 ? (使 用 什么 指令 ? ) 利 用 postconf -n 可 
以 察看 了 目前 main.cf 里 面 设 定 的 参数 1 ， 而 如 果 要 看 所 有 的 参数 ， 则 直接 使 用 postconf 
即 可 |! 


否 运作 与 DNS ( MX 与 Arecode ) 的 相关 性 为 何 ? 目前 因特网 社会 合法 的 
常 仅 会 针对 具有 MX 标志 的 邮件 主机 发 出 信件 而 已 。 而 如 果 有 多 重 MX 


Mail Server 能 否 
Mail server 通常 仅 
对 最 小 MX 主机 寄 信 ， 依 序 处 理 。 而 最 终 依 据 MX 主机 的 A 标 志 来 查 得 最 


时 ， 首 先 会 选 
终 目 标 。 
什么 是 smtp, pop3 以 及 imap 协议 ， 他 们 的 用 途 分 别 是 什么 ? 


o Smtp : 用 来 传递 邮件 的 协议 ， 通 常 我 们 称 为 MTA 即 是 此 一 协议 所 达成 

o pop3 : 让 client 端 向 主机 端 要 求 收 信 的 协议 ， 通 常 预 设 收 信 完 成 后 ， 主 机 端的 malil 
box 会 被 删除 ; 

o imap : 与 pop3 类 似 ， 不 过 imap 允许 用 户 在 主机 的 家 目录 建立 邮件 数据 原 


22.8 参考 数据 与 延伸 阅读 


。 Sendmail 官方 网 站 : http://www.sendmail.org 

e Postfix 官方 网 站 : http://www.postfix.org 

。 Cyrus-SASL 官方 网 站 : http://asg.web.cmu.edu/cyrus/download/sasl/doc/ 

。 Procmail 官方 网 站 : http://www.procmail.org 

。 Open Relay Database : http://www.ordb.org/ (很 可 惜 ， 已 于 2006/12/18 关 站 ) 

。 Study Area 之 邮件 架设 : http://www.study-area.org/linux/servers/linux_mail.htm 

。 SMTP 认证 系统 的 建 置 : http://beta.wsl.sinica.edu.tw/~ylchang/Email/sendmail-auth/ 

e 台湾 学 术 网 络 黑 名 单 网 页 : http://rs.edu.tw/tanet/spam.html 

e 卧龙 小 三 的 Procmailrc 范例 : ftp://ftp.tnc.edu.tw/pub/Sysop/MAIL/procmailrc 

。 林 克 敏 主任 文件 集 之 Procmail 范例 : http://freebsd.lab.mlc.edu.tw/procmail.htm 

e Postgrey 官方 网 站 : http://isg.ee.ethz.ch/tools/postgrey/ 

e Postfix 针对 Postgrey 的 设 定 : http://www.postfix.org/SMTPD_POLICY_README.html 

e 一 些 postfix 的 relay 机 制 设 定 : http://jimsun .linxnet.com/misc/postfix-anti-UCE .txt 

e 人 小 州 的 postfix 设 定 : http://phorum.study-area.org/viewtopic.php?t=30716 

。 POSTFIX 技术 手札 ，Ralf Hildebrandt/Patrick Koetter 合 着 ， 上 奇 出 版 ，2005 年 。 

。 TWU2 兄 在 酷 学 园 所 发 表 的 自制 邮件 过 滤 软 件 : http://phorum.study- 
area.org/viewtopic.php?t=38649 

。 Amavis-new 一 个 在 MTA 与 队列 间 的 服务 : http://www.ijs.si/software/amavisd/ 

e。 广告 信件 分 析 软 件 : http://spamassassin.apache.org/index.html 

e Steven 的 垃圾 信 抵 挡 机 制 : http://www.l-penguin.idv.tw/article/postfix_spam- 
spamassassin.htm 


2006/11/13 : 准备 将 原本 的 sendmail 以 及 postfix 整合 成 为 一 篇 专门 介绍 Mail server 的 小 文 
章 史 1! 2006/11/14 : 原本 的 sendmail 请 参考 这 里 ， 原 本 的 Postfix 则 请 参考 这 里 。 至 于 人 数 
统计 则 以 sendmail 原本 网 页 增加 。 2006/11/30 : 加 上 了 邮件 扫 瞄 与 广告 信 抵 挡 的 
spamassassin 机 制 ， 呼 呼 ! 好 累 ~ 2006/12/05 : 加 上 自动 学 习 广 告 信 抵挡 机 制 方面 的 简单 介 
绍 。 2007/02/07 : 新 增 不 要 去 弃 exe 附 文件 名 的 信息 ! 2007/02/27 : 感谢 网 友 Cheng-Lin 
Yang 提供 的 意见 ， 在 黑 名 单数 据 库 增加 了 http://www.anti-spam.org.cn/， 
http://www.spamhaus.org/ 2007/04/05 : 感谢 chunkit 兄 的 来 信 告 知 ， 将 原本 的 mail localhost 
25 改 成 telnetlocalhost 25 ! 2010/07/20 : 感谢 Patrick 的 告知 ， 学 术 网 络 的 spam 网 址 应 为 
http://rs.edu.tw/tanet/spam.html 2011/06/05 : 将 昌 的 基于 CentOS4.x 的 版 本 移动 到 此 处 
2011/06/13 : 不 愿意 再 讲 telnet 的 mail 功能 ， 加 入 的 是 mutt 这 个 可 以 联网 的 好 物 ! 
2011/07/07 : 这 个 月 实在 很 忙 克 ， 所 以 短 短 一 篇 mail server 改 了 一 整个 月 ... 2011/08/10 : 将 
基于 CentOS 5.x 的 版 本 移动 到 此 处 
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